Google Cloud を悪用するフィッシング・キャンペーン：Microsoft 365 認証情報を窃取

Threat Actors Exploit Google Cloud Services to Steal Microsoft 365 Credentials

2026/01/07 gbhackers — Google Cloud インフラを悪用する巧妙なフィッシング攻撃キャンペーンが、メール・セキュリティ・フィルターを回避して、Microsoft 365 の認証情報を窃取している。信頼性の高いクラウド・プラットフォームを踏み台にすることで、攻撃の正当性を高める手法が一段と洗練されている。Check Point のサイバー・セキュリティ研究者が確認したのは、約 3,200 の組織を標的とし、14日間で 9,300 通超のフィッシング・メールを配信した大規模キャンペーンである。

Google Cloud Application Integration のメール送信機能を悪用する攻撃者は、正規の Google アドレスからの通知を送信することで、従来のスパム／フィッシング対策を回避していた。

このキャンペーンでは、ユーザーの信頼を段階的に醸成しながら自動解析をすり抜けるために、多段階のリダイレクトが用いられている。受信者が受け取るのは、Google の通常通知／ボイスメール／ドキュメント共有／権限付与通知などを模した、体裁／言語ともに本物そっくりのメールである。

それらのメールに含まれるリンクをクリックすると、”storage.cloud.google.com” に誘導され信頼が確立される。その後に、”googleusercontent.com” にリダイレクトされ、ボット検知を回避する目的の偽 CAPTCHA を通過させられる。最終的に、Microsoft 以外のドメインでホストされた、Microsoft 365 ログイン画面の偽装ページ に到達し、入力された認証情報が窃取される。

このキャンペーンが成功する理由

Google Cloud Application Integration は、ビジネス・プロセスを自動化するための正規のワークフロー自動化ツールであり、ユーザーがポイント・アンド・クリック方式の設定によりアプリケーションを接続する。

新規顧客には $300 相当の無料クレジットが提供される。こうした利用形態により、サイバー犯罪者の参入障壁が大幅に下がる。

このプラットフォームの “メール送信” タスクは、正規のシステム通知を目的として設計されている。しかし、任意の受信者にメールを送信するための設定も可能である。したがって、攻撃者は、Google のインフラ自体を侵害することなく、この機能を悪用した。

攻撃の複数段階において、本物の Google ドメインが使用された。それによりユーザーは、認識しているプラットフォームからの通信を信頼するように訓練されていく。その結果として、技術的なセキュリティ管理と人間による精査の双方を回避する、ユニークな偽の信頼性が生じる。

このキャンペーンを分析したところ、主な標的として浮かび上がったのは、製造業 (19.6%)／テクノロジーおよび SaaS 企業 (18.9%)／金融サービス企業 (14.8%) である。

これらの業界では、自動通知やドキュメント共有ワークフローが頻繁に使用される。そのため、Google ブランドのアラートは特に説得力を持つ。

地域別に見ると、影響を受けた組織の半数近くは米国 (48.6%) に拠点を置く組織だった。それに続くのが、アジア太平洋地域 (20.7%)／ヨーロッパ (19.8%) である。

Google の対応

Google は、この攻撃ベクターに対する保護対策を実装し、メール通知機能を悪用する複数のフィッシング・キャンペーンをブロックした。同社が強調するのは、Google インフラへの侵入を介した攻撃ではないという点だ。さらに、ワークフロー自動化ツールの悪用によるものだと説明し、今後の悪用を防ぐための措置を講じていると述べた。

組織／個人ユーザーにとって必要なことは、認証情報を入力する前にログインページの実際のドメインを確認することだ。パスワード・マネージャーは、なりすましサイトでの認証情報の自動入力を拒否するため、この対策に寄与する。

多要素認証 (MFA) を導入することで、盗まれたパスワードのみでアカウントが侵害される事態を防げる。それに加えて、認識されていないアプリの権限を定期的に確認／削除することで、さらにセキュリティを強化できる。

なお、ボイスメールやドキュメント共有に関する緊急メールについても、ユーザーは注意すべきである。たとえ信頼できるブランドから送信されたように見えても、慎重な判断が求められる。メール内のリンクをクリックするのではなく、ブックマークやアプリケーションから直接サービスにアクセスすることで、より安全な認証が可能となる。

このキャンペーンが示すのは、フィッシング攻撃の巧妙化が進んでいる現状である。さらに、信頼できるインフラが関与している場合であっても、正当な自動通信と偽りの通信との区別が、依然として困難であることを示している。

Google Cloud が提供するワークフローの自動化ツールが、本来の目的とは異なる形で悪用されたようです。このツールには、システムからメールを自動送信する便利な機能がありますが、それを悪用する攻撃者が、Google の正規アドレスから偽の通知を送りました。それにより、セキュリティ・フィルターが本物の Google からのメールだと判断し、攻撃に対する防御が失敗しました。さらに、本物のクラウド・ストレージのドメインを経由させることで、ユーザーの警戒心を段階的に解く仕組みになっていました。つい先日の 2026/01/02 には、「Google Tasks の悪用を検知：正規のワークフローを介したフィッシング・メールに要注意」という記事をポストしています。よろしければ、ご参照ください。