QuickBooks、Microsoft、そしてついにGoogle。正規プラットフォームの悪用は2025年も止まらないのか?KnowBe4 Threat Labs Teamは、止まらないと予測しています。
この攻撃手法が依然として有効である限り、サイバー犯罪者は使い続けるでしょう。実際、2025年1月には、Googleサービスを悪用したフィッシング攻撃の急増が観測されました。
Googleプラットフォームを悪用した攻撃概要
Googleサービスの悪用自体は新しいものではありませんが、Threat Labs teamは2025年1月にかけて大幅な増加を確認しました。今回の攻撃では、これまでに見たことのない、新たな手法が使われていました。
その手法はこうです。攻撃者がGoogle Driveを使ってオンラインドキュメントを作成し、その中に外部リンクを埋め込みます。そして、ファイル共有機能を使って、Googleを通じて正規の通知メールを送信します。最終的に、受信者は認証情報の詐取や資金の不正送金を目的としたフィッシングサイトへと誘導されます。
こうしたフィッシングメールが危険な理由は、メールの信憑性にあります。正規のブランドやメールドメインの偽装、信憑性の高い文章構成などを駆使して、攻撃者は正規のやり取りを装います。
正規プラットフォームを使用した攻撃は、従来のセキュリティ製品によるフィルターでは検知できずすりぬけてしまいます。だからこそ、従業員が怪しいメールに気づくことと、それを通報することが非常に重要になります。以下に紹介する例からもわかるように、Threat Labs teamは進化する攻撃に対抗すべく日々調査・分析を続けています。
攻撃の仕組み
ステップ1:Google Driveの通知機能の悪用
今回のフィッシング手法では、Google Driveのファイル共有機能が悪用されました。従来の手法では、共有したドキュメントに標的のユーザーをタグ付けする方法が一般的でしたが、今回は攻撃者が管理するGoogle Workspaceアカウントが使われています。
まず、攻撃者は独自ドメインを登録し、そのドメインを使ってGoogle Workspaceにアカウントを新規作成します。次に、同じドメインを使い、さらに複数のユーザーアカウントを作成し、Google Driveの共有機能を利用できるようにします。この仕組みを使って、攻撃者はフィッシングリンクを埋め込んだPDFファイルをアップロードし、標的に共有します。ファイルが共有されると、Googleの通知機能によって、自動的に正規の通知メールが送信されます。
以下の例のように、攻撃者は第三者のサービスを利用しつつ、ソーシャルエンジニアリング手法を駆使して、標的を攻撃先へ誘導させます。たとえば、「【重要】未払いのご請求についてのご案内」といった件名を用いることで、直ちに対応しなければならない緊急の要件であるかのように見せかけます。
Threat Labs teamの分析によると、次のような件名のフィッシングメールが多く見らました:
- セキュリティ関連のアクティビティ/条件
- アカウントの更新/ロック解除/認証
- 支払い情報の更新/認証
Googleの正規の通知システムを利用することで、攻撃者はセキュリティ製品による検出を免れる確率を大きく高めることができます。Googleのインフラを通じて送られるため、Microsoft 365やSEG(セキュアメールゲートウェイ)などのシグネチャベースやレピュテーションベースの検知システムでは止めることは困難です。これらのセキュリティツールは通常、送信元ドメインの信頼性や運用年数に基づいて怪しいかどうか判別するため、Googleからの通知は信頼度が高く、検出をすり抜けてしまうのです。
さらに、受信者はGoogleという広く一般的に知られているブランドを疑うことはなく、メールを開封して内容に反応してしまいます。
ステップ2:偽装されたランディングページ
ユーザーがPDF内のリンクをクリックすると、政府機関を装った偽のランディングページへと誘導されます。そこでは、ドキュメントを閲覧するために認証情報の入力が求められます。この攻撃の目的はログイン情報の詐取ですが、別のケースでは、受信者を偽の金融取引サイトへ誘導し、送金を促すものも確認されています。
正規ドメインを悪用するフィッシングの拡大している理由
今回のような攻撃は2025年に入ってから突発的に発生しているわけではありません。
KnowBe4のThreat Labs teamは、攻撃者が正規のドメインを使ってSEGを回避する事例を多数確認しています。最新の「Phishing Threat Trends Report(フィッシング脅威トレンドレポート)」では、信頼されたプラットフォームを悪用したフィッシング攻撃が67.4%増加しているという結果が出ています。特に多く使われているドメインはDocuSign、PayPal、Microsoft、Google Drive、Salesforceです。
また、Threat Labsは、QuickBooksを悪用した攻撃が2025年1月1日から3月7日までの間に36.5%増加したことを確認しています。攻撃者は、無料アカウントを作成し、メール送信機能を使って、正規のプラットフォームから直接フィッシングメールを送信していました。同様に、Microsoftの請求書テンプレートを使って送信ルールを操作することで、認証チェックを回避したケースもあります。
このように、信頼性の高いプラットフォームを悪用することで、フィッシングメールが本物のように見え、署名検出やレピュテーションチェックをすり抜けやすくなります。結果として、従来のメールセキュリティでは検知が難しくなり、受信者が気づかなければ、大きな被害につながるリスクが高まります。
組織にできることは?
信憑性の高い攻撃が増えている傾向から見えてくるのは、メールのドメインや本文の内容、ソーシャルエンジニアリングの要素など、メール全体を包括的に分析できるアンチフィッシング技術が必要であるということです。
また、技術だけではなく、従業員がこうした巧妙なフィッシングを見抜けるよう、タイムリーかつ実践的なトレーニングやコーチングを組み合わせる必要があります。
この2つのアプローチを組み合わせることで、各従業員および組織全体を高度なフィッシング攻撃から守るための、包括的な防御を構築することができます。
原典:KnowBe4 Threat Lab著 2025年4月17日発信 https://blog.knowbe4.com/the-continued-abuse-of-legitimate-domains-a-spike-in-the-exploitation-of-google-drive-to-send-phishing-attacks