Google Tasks の悪用を検知:正規のワークフローを介したフィッシング・メールに要注意

Hackers Abusing Google Tasks Notification for Sophisticated Phishing Attack

2026/01/02 CyberSecurityNews — Google ToDo リストの通知を悪用するハッカーたちが、世界中の 3,000 社以上の組織を標的として、高度なフィッシング攻撃を開始した。この 2025年12月に確認された攻撃は、メールベース脅威の危険な変化を示している。ハッカーたちの攻撃手法は、ドメインのなりすましやメールヘッダーの偽造ではなく、正規の Google インフラ自体の悪用である。

フィッシングメールは、正規の Google アドレスである “noreply-application-integration@google.com” から送信されていた。それにより、一連のメールは SPF/DKIM/DMARC/CompAuth などの主要なメール認証プロトコルを通過している。

この手法を用いる送信者は、レピュテーションやドメイン信頼性に依存する従来型のメールセキュリティ・ゲートウェイを回避できたと、RavenMail は指摘している。

Google Tasks Notification Based Attack
Google Tasks Notification Based Attack

これらのメールは、Google ToDo リストの通知を装いながら、”全従業員タスク” として緊急の確認を求めていた。受信者に促されるのは、”タスクを表示” または “完了してマーク” ボタンのクリックである。この操作により、Google Cloud Storage でホストされた悪意のページへと、ユーザーはリダイレクトされる。

信頼されている Google サービスがフィッシングで悪用

この攻撃者は、Google のアプリケーション統合サービスを悪用し、正規の Google インフラからメールを送信した。それにより、Google の高い送信者レピュテーションとユニバーサル・ホワイトリストが継承された。

そのフィッシング・ページは、使い慣れた UI 要素/正規のフッターテキスト/本物と見分けがつかない CTA ボタンなどの、Google ToDo リストのブランドが極めて正確に複製されていた。

この攻撃を受けた被害者は、Google Cloud Storage (storage.cloud.google.com) でホストされる URL へと誘導される。その際に、従来の URL レピュテーションに基づく検知は機能しなかった。

ユーザーを欺くメッセージで用いられたのは、権威フレーミング/緊急性の指標/最小限の説明といった心理的トリガーである。この圧力を受けた受信者は、精査することなく即座に行動するよう促された。こうした状況が浮き彫りにするのは、メール・セキュリティにおける根本的な課題である。

送信元が Google であり、すべての認証チェックに合格し、ドメインが信頼され、不審な添付ファイルも存在しなかった。そのため、従来のセキュリティ・ツールではブロックすべき兆候を検出できなかった。

脅威研究者たちが確認したものには、Google Classroom/Google Forms/AppSheet を悪用して認証情報を窃取する類似キャンペーンもある。

Mail send workflows from Application Integration Service
Mail send workflows from Application Integration Service 

このキャンペーンを RavenMail が検知できたのは、ドメイン・レピュテーションに依存せず、コンテキストの不一致を分析したからである。

同社のセキュリティ・プラットフォームは、Google Tasks が人事確認用途として使用されている点が不自然であること、また、Cloud Storage の URL が正当な Google Tasks のワークフローと一致しない点を特定した。

セキュリティ専門家たちが警告するのは、この種の問題が Google に限ったものではない点だ。

現実の問題として攻撃者たちは、Salesforce や Amazon SES などの信頼されたプラットフォームを悪用し、正規システム内でフィッシングを実行するという事例を増やしている。

インフラ・レベルのなりすましから、正規ワークフロー自体の悪用へと、脅威アクターたちの手口は移行している。こうした現状を踏まえて、ユーザー組織に求められるのは、従来の認証シグナルを超えたメール・セキュリティの再設計である。

Google ToDo リストの正規な仕組みを悪用する、きわめて巧妙なフィッシング攻撃について解説する記事です。この問題の原因は、攻撃者がシステムの隙を突いて、Google のインフラ自体からメールを送信したことにあります。SPF や DKIM などの送信ドメインの認証は、メールの信頼性を守るためのものですが、今回は送信元が本物の Google サーバだったため、すべてのセキュリティ・チェックをすり抜けてしまいました。また、誘導先も Google のクラウド・ストレージが使われていたため、URL の安全性を判定するツールも異常を検知できませんでした。信頼された正規のサービスやワークフローそのものが悪用されると、機械的な判別だけでは防ぐことが難しくなるという、現代のセキュリティが抱える課題が浮き彫りになっています。よろしければ、Phishing での検索結果も、ご参照ください。