Russian Hackers Bypass Gmail MFA With App-Specific Password Ruse
2025/06/18 SecurityWeek — ロシア政府との関係性を有するプロフェッショナルなハッキング・チームが、あまり知られていない Google の ASP (Application-Specific Password) 機能を悪用し、Gmail の2段階認証 (MFA) を回避する新たな手口を用いて、巧妙に仕掛けられたフィッシング攻撃を展開していたことが判明した。
Google の Threat Intelligence Group からのドキュメントによると、この攻撃キャンペーンは 4月から 6月上旬にかけて実施され、米国務省職員になりすました攻撃者が、完璧な英語でメールをやり取りし、偽の @state.gov ドメインを持つ4人の仲間へと、そのメッセージをコピー送信していた。
この攻撃者グループを、Google は UNC6293 として追跡しており、2016 年の米民主党全国委員会 (DNC) ハッキング事件に関与したとされる、ロシアの情報機関 APT29 との関連があるとみている。調査によると、ASP の生成方法を記載した具体的な指示を送る前に、このグループは数週間をかけて、標的たちとの信頼関係を構築していたと推定される。
被害者の一人である、Chatham House に所属する英国人作家 Keir Giles は、”Claudie S. Weber” と名乗る送信者と 10 通以上のメールを交わしていた。これらのメッセージは、米国ワシントンの日中に送信されており、送信エラーにならない有効なメール・アドレスを使用していた。
Google によると、メールのやり取りを通じて信頼関係が構築されると、攻撃者は米国務省のレターヘッドが添付された6 ページにわたる偽の PDF 書類を送信し、Google アカウント設定ページへとターゲットにアクセスさせた。そこで、”ms.state.gov” という名称に対して 16文字の ASP (Application-Specific Password) を生成させた上で、そのコードをメールで返信し、安全な登録を完了するよう指示したという。
つまり、このコードを入手した攻撃者は、MFA の回避を達成し、ターゲットの Gmail アカウントへの継続的なアクセスを可能にすることになった。
Giles の依頼により、このフィッシング・メールを分析した Citizen Lab は、メール本体と添付の PDF において、一般的なフィッシングで見られるような、言語的な誤りが一切見られなかったと指摘している。研究者たちは、言語の洗練度の高さから、生成 AI ツールが用いられた可能性もあるとみている。
Citizen Lab の研究者たちは、「これは高度に洗練された攻撃であり、複数の偽装された身分/アカウント/資料/欺瞞的要素などが用意されていた。攻撃者は明らかに細心の注意を払っており、警戒心の高いユーザーであっても不審点に気づくのは困難であった」と述べている。
Google は、今回の Giles に対する攻撃を、ウクライナをテーマとする第二波の攻撃キャンペーンと関連付けている。両者に共通する点として、攻撃者は同一の住宅用プロキシ IP を経由してログインしており、異なる被害者間で同一ノードが再利用されるという事例も確認された。
Google は、すべての盗まれたパスワードを無効化し、影響を受けたアカウントをロックした上で、他の標的に対しても警告を発したと述べている。
Google および Citizen Lab は、ハイプロファイルな標的に対して、Google の Advanced Protection Program への登録を促すとともに、ユーザー自身のアカウントに不要な ASP (Application-Specific Password) が残存していないことを確認するよう呼びかけている。
この攻撃事例は、Google の ASP (Application-Specific Password) という盲点を突く、高度に洗練されたフィッシングの手口を示しています。ASP を使えば MFA を回避できるということなのでしょうが、そのこと自体が、あまり知られていないため、攻撃者にとっては格好の抜け穴になるようです。Gmail ユーザーさんは、ご注意ください。よろしければ、Phishing で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.