Google Cloud/Cloudflare のインフラを悪用:3年間にわたるフィッシング攻撃が見逃されていた!

Google Cloud & Cloudflare Missed 3-Year Phishing Campaign

2025/09/03 gbhackers — Google Cloud/Cloudflare のインフラを悪用する大規模なフィッシング攻撃が、3年以上にわたり公開環境で展開され、Fortune 500 企業を標的に数百万ドル規模の潜在収益を発生させていた。Deep Specter Research の調査が明らかにしたのは、この攻撃の深刻さと、ブランド/規制当局/エンドユーザーへの影響である。


Google Cloud (Nasdaq: GOOG)/Cloudflare (NYSE: NET) は、インターネットの基盤を支える存在である。フィッシングやマルウェア攻撃に関連する悪意のドメイン/IP アドレス/SSL 証明書を、脅威インテリジェンスが繰り返して警告していたが、両社は対応しなかった。この不作為により、両社は中立的仲介者から違法行為を助長する存在へと変貌した。

80以上のインフラ・クラスターにまたがる 48,000台以上の仮想ホストが、期限切れの高信頼ドメインを用いてフィッシング・サイトをクローキングし、ギャンブル関連コンテンツを提供していた。そして、265 件を超える公開検出があったにもかかわらず、どちらの企業も不正アカウントを停止しなかった。

military fighter jets facebook community.
military fighter jets facebook community.

主な被害者は Lockheed Martin であり、同社の公式 Web サイトが “militaryfighterjet[.]com” というドメインで複製され、違法ギャンブル・ページと並行して提供された。

攻撃者は期限切れドメインを取得し、クローキングを実装することで、ボットや検索エンジンに対してはクリーンなコンテンツを、人間の訪問者には違法コンテンツを表示した。その結果として、それらのフィッシング・ページは、従業員ログイン・ポータルやパートナー・インターフェイスを模倣し、それと同一の URL 上で無許可のギャンブル・サービスを展開することに成功していた。

このブラックハット SEO とクローキングの組み合わせは、検索エンジンのガイドラインに違反し、深刻なセキュリティ・リスクをもたらし、ユーザーの信頼を損なうものである。

範囲と規模

Censys と ZoomEye のデータによると、このフィッシング攻撃のインフラは、2021年の 34 ホストから 2025年半ばの約 2,800 ホストへと増加し、2025年3月時点の観測数は 33,890 件に達したという。

それらのキャンペーンは、評判の高い期限切れドメインと、業界固有キーワードを組み合わせ、防衛関連企業には軍事サイト・ドメインが、病院には医療系ドメインが割り当てられ、ペットフード・ショップには無関係なクローン・コンテンツなどのドメインが割り当てられた。

合計で8台の管理ホストが 78 クラスターを統制し、クローンサイトをローテーションさせ、フィッシング・ペイロードを動的に変更していた。

48,000 台のホストのうち、HTTPS を実装していたのは約 1,000 台に過ぎなかったが、これらは共通の TLS フィンガー・プリントを示していた。

ビジネスと規制への影響

重複コンテンツによる SEO ペナルティは、正規サイトのランキングを低下させ、ギャンブルやマルウェアとの関連付けはブランド評判を毀損する。これらの HTTrack によるコピーを防ぐためには、Amazon S3/Google Analytics といった外部リソースを監視する必要があり、対策は複雑化した。

2025年の統計では、ホスト数 2,791/観測数 56,075 が確認され、3月だけで 1,997 ホスト/33,890 が観測された。 Lockheed Martin のような企業は過失が無いにしても、GDPR 違反/DMCA ロジスティクス/FTC 調査に直面する可能性がある。その一方で、オーガニック・トラフィックの減少は収益に直結し、削除措置の法的コストは財務負担を増大させる。

The trend in graph: hosts as main line, others overlapped, normalized (2021–2025).
The trend in graph: hosts as main line, others overlapped, normalized (2021–2025).

Deep Specter Research は、この活動に対して、少なくとも 7 世代にわたり進化した Phishing-as-a-Service プラットフォームによると評価している。

Windows 実行ファイル/Android アプリなどを含む、世界的なマルウェア・キャンペーンが、これらのクラスターと通信して脅威を増幅させていた。

ある組織を標的とするクラスターには、約 6,000 台の仮想ホストが含まれ、さらなる侵害の可能性を示している。

この事例が浮き彫りにするのは、インフラ・プロバイダーがフラグ付き脅威インテリジェンスに迅速に対応しない現状であり、企業がデジタル・フィンガープリントを積極的に監視すべき理由である。Deep Specter Research は、法律専門家やプライバシー擁護団体と連携し、その技術的な調査結果を、ビジネス洞察と規制へと変換している。

この調査結果が、Google/Cloudflare などのブランドに対して強く求めるのは、将来の大規模フィッシングを阻止するための、脅威検出強化/監視ループの閉鎖/厳格なアカウント停止である。

インターネット基盤を担う企業が、明らかな不正利用の兆候を無視するなら、信頼を失うだけでなく、前例のない法的/金銭的影響を被るリスクがある。

Google Cloud や Cloudflare のインフラが悪用され、大規模なフィッシング攻撃に利用されていた点が注目されています。この問題のコアとされるのは、両社が脅威インテリジェンスから繰り返し警告を受けながらも、不正アカウントや悪意あるドメインを十分に停止しなかった “不作為” にあります。その結果として、期限切れの信頼ドメインやクローキング手法を悪用する攻撃基盤が長期間にわたり稼働し、企業サイトの模倣や違法サービスの展開を許してしまいました。かなり厳しい論調で指摘されていますが、仕方ないですね。よろしければ、Phishing-as-a-Service で検索も、ご参照ください。