Google Docs コメントを武器化する新たなフィッシング・キャンペーンに注意

Google Docs Comments Weaponized in New Phishing Campaign

2022/01/07 DarkReading — 最近のフィッシング・キャンペーンにおいて、Google Docs のコメント機能を悪用することで、正当に見えるメールを送信し、ターゲットに悪意のリンクをクリックさせるものが発見された。このキャンペーンを発見した Avanan の研究者たちによると、Google Suite に対するユーザーの信頼性を悪用する方法は、今回が初めてではないとのことだ。

今年の初め、悪意のダウンロード・ファイルを含む、Google Docs ファイルへのリンクが送信されているのが発見された。このファイルをダウンロードした被害者は、騙されてログイン情報を入力していた。

今回の脅威は、2020年の攻撃とは異なる方法を用いている。Avanan では、12月から、主に Outlook ユーザーを対象としたフィッシング・キャンペーンで、Google Docs のコメント機能の悪用が確認されている。この攻撃では、30のテナントにおける 500 ほどの受信箱が攻撃され、また、オペレーターは 100以上の独自の Gmail アカウントを使い分けていた。

この攻撃を実行する脅威アクターは、Google Docs の文書を作成し、悪意のリンクを含むコメントを追加する。そして、そのコメントに被害者を “@” で追加する。この操作により、Google Docs ファイルへのリンクが記載されたメールが、ターゲットに自動的に送信される。このメールには、攻撃者が追加した悪意のリンクなどを含む、コメントの全文が表示されている。

フィッシャーにとっては魅力的なテクニックである。なぜなら、このメール通知は、ユーザーの間で一般的に信頼され、ほとんどの Allow リストに載っている Google からダイレクトに送信され、被害者の受信トレイに届く可能性が高いからである。さらに、このメールには、攻撃者のメールアドレスは含まれず、表示名のみが含まれている。したがって、アンチスパム・フィルタなどによる攻撃の検知が難しくなる。

攻撃者は、無料の Gmail アカウントを作成し、Google Doc を設定し、コメントを挿入し、ターゲットに送信できる。受信者には送信者のメールアドレスが表示されないため、攻撃者は同僚や友人の名前を表示名として使用し、ターゲットがクリックする可能性を高められる。この手法を用いることで、攻撃者の目的に応じて、マルウェアの配信や、認証情報の窃取などの、行動を取ることが可能になる。

Google Doc へのアクセスは不要

Avanan の研究者たちがブログで報告しているように、通知メールには悪意のリンクが含まれているため、被害者による Doc へのアクセスを必要とせずに、この攻撃は機能する。また、攻撃者は被害者とファイルを共有する必要はなく、コメントの中に標的を記すだけで十分となる。

12月のキャンペーンでは、フィッシング攻撃に Google Docs のコメントを使用していたが、研究者のチームによると、この手法は Google Slides でも通用するとのことだ。1月3日に、Avanan は Google に調査結果を通知した。

この攻撃手法から身を守るために、セキュリティ担当者は従業員に対して、送信者の電子メールが実在の人物のものと一致することを確認するよう、アドバイスすることが推奨される。不明な点がある場合には、送信者に連絡を取り、コメントを送信する意思があるかどうかを確認してほしい。

2021年12月に「Google Calendar にフィッシング・ブロック機能が追加:悪意の招待を締め出せ」という記事をポストしましたが、Google のサービスが浸透するにつれて、それを悪用するケースが増えていくのでしょうか? それにしても、Google Doc のコメントを使うとは、上手く考えたものです。

%d bloggers like this: