RavenMailのリサーチャーによると、先月、3,000以上の組織を狙うフィッシング攻撃が確認され、とくに製造業での観測が目立ちます。
メールはファイルアクセスの要求やボイスメール通知を装い、受信者を偽のログイン画面へ誘導して、IDやパスワードなどの認証情報を狙っていました。
特に厄介なのは、正規のGoogleインフラやリンクが悪用され、セキュリティツールに検知されにくくなっていた点です。
RavenMailは次のように説明しています。「いずれのケースでも、メールは正規のGoogleインフラから送信され、SPF、DKIM、DMARCを通過し、ペイロードとしてGoogleでホストされた信頼性の高いURLが使われていました。」
「これは、多くのメールセキュリティプラットフォームが前提としている“トラストモデル”を根本から崩します。リサーチャーは以前から、こうしたキャンペーンがメールセキュリティゲートウェイ(SEG)とメール保護機能の双方を回避することを繰り返し確認しています。なぜなら、メールの送信経路自体には不審な点がないからです。」
このキャンペーンは、Googleのシステムが侵害されたわけではありません。攻撃者は、業務を効率化するためのワークフロー自動化サービスを悪用し、正規の仕組みを使って防御をすり抜けていました。リサーチャーは、こうした「正規サービスの悪用」が、防御回避の手口として広がっているとも指摘しています。
RavenMailは次のように述べています。「攻撃者はGoogle Cloud Storage(GCS)上にフィッシングページや多段リダイレクトをホストしています。GCSはHTTPSで提供され、一般に信頼されやすいGoogleのドメインです。」
「多くのWebレピュテーションを判定するシステムは、クラウド事業者のドメインを安全と見なすため、こうしたリンクは検知を回避しがちです。別のキャンペーンでは、Google ClassroomやGoogle Formsのようなプラットフォームを悪用し、フィッシングコンテンツを大規模に展開し、セキュリティフィルタを回避した例もあります。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
詳細については、RavenMailの記事を参照してください。
原典:KnowBe4 Team著 2025年1月14日発信 https://blog.knowbe4.com/phishing-campaign-abuses-googles-infrastructure-to-bypass-defenses