Google Firebase を介したフィッシング・キャンペーンを検出:正規の Google インフラの悪用に注意

Hackers Exploit Free Firebase Accounts to Launch Phishing Campaigns

2026/02/07 gbhackers — Google の正規インフラを悪用することで、セキュリティ・フィルタを回避する、新たなフィッシング・キャンペーンの波が確認されている。この攻撃者は、Google Firebase 上で無料の開発者アカウントを作成し、有名ブランドを装う不正メールを送信している。具体的に言うと、Firebase ドメインの信頼性を悪用する攻撃者が、標準的なスパム検知システムを回避し、ユーザーの受信トレイに悪意のメールを到達させている。

攻撃の仕組み

Mobile/Web アプリケーションを構築する、数多くの開発者が利用するプラットフォームが Google Firebase である。 このプラットフォームは、開発者によるソフトウェアのテストを支援するための無料アカウントを提供している。そして、詐欺師たちが着目したのは、これらのアカウントから送信されるメールが、信頼されている Google のサーバから発信される点である。 

Phishing page (source: Twitter)
Phishing page (source: Twitter)

このキャンペーンでは、攻撃者が無料アカウントを登録し、それを悪用してフィッシング・メールを大量に送信している。通常、これらのメッセージは、”firebaseapp.com” で終わるアドレスから送信される。技術的な面で、正規の Google サービスから送信されているため、Email Security Gateway により安全と判断される場合が多い。

Phishing page (source: Twitter)
Phishing page (source: Twitter)

 このキャンペーンは、主に 2 つの心理的トリガーに依存している。その詳細は以下の通りである。

  • 恐怖の利用:多くの被害者が受信するのは、銀行口座やオンライン・プロファイルが侵害されたと主張する緊急アラートである。これらのメッセージは “不正なアカウント利用” を警告し、アカウント凍結を防ぐための即時の対応を求める。
  • 偽の景品・キャンペーン:別のメールでは、高価な商品が無料で提供されると約束することで被害者を誘導する。これらの偽プロモーションは、有名な小売ブランドを模倣しており、賞品を受け取るためにリンクをクリックするようユーザーを促す。

これらのメール内のリンクを、 ユーザーがクリックすると、ログイン認証情報やクレジットカード番号などの機微情報を窃取するために設計された、悪意の Web サイトへとリダイレクトされる。この問題は、Palo Alto Networks により報告されている。

侵害の痕跡 (IoCs)

セキュリティ・チームにとって必要なことは、メール・トラフィックにおける特定のパターンに注意することである。この攻撃者が頻繁に使用するのは、Firebase プラットフォーム上でランダムに生成されるサブドメインである。このキャンペーンで観測された送信元アドレスの例は、以下の通りである。 

  • noreply@zamkksdjauys.firebaseapp[.]com 
  • noreply@pr01-1f199.firebaseapp[.]com 
  • noreply@pro04-4a08a.firebaseapp[.]com

前述のとおり、これらのメールに含まれるリンクにより、外部のフィッシング・ページへとユーザーはリダイレクトされる。研究者たちが特定したものには、”clouud.thebatata[.]org” でホストされる URL や、”rebrand[.]ly” を使用する短縮リンクなどの、複数の悪意の URL がある。

安全を確保するために、ユーザーが注意すべき点は、Firebase のような信頼された技術ドメインから送信される場合であっても、未承諾のメールに対して懐疑的になることだ。 送信元アドレスを慎重に確認することが重要であり、銀行や小売業者を名乗るメールであっても、アドレスが “firebaseapp.com” で終わっているケースは、ほぼ確実に詐欺である。

ネットワーク管理者は、特定されたドメインへのトラフィックを監視する必要がある。自組織が開発用途として Firebase サブドメインを利用していない場合には、不明な Firebase サブドメインからのメールに対して、ブロックを検討すべきである。

Google のクラウド・プラットフォームである Firebase を悪用する、巧妙なフィッシング攻撃について解説する記事です。この問題の原因は、Google が提供する正規のインフラ Firebase の信頼性を、攻撃者が “盾” として悪用していることにあります。Firebase は、開発者によるアプリ・テストを支援するために無料アカウントを提供していますが、ここから送信されるメールは Google の正規サーバを経由するため、企業のセキュリティ・フィルターは “安全な Google からのメール” と誤認して通してしまいます。技術的な中核は、送信元アドレスが “firebaseapp.com” という正規ドメインで終わる点にあります。この信頼されたドメインを悪用する攻撃者は、”口座の不正利用” などの恐怖を煽るメッセージや、”豪華景品” をルアーにした偽の通知を送りつけます。このような悪意のメールに、ご注意ください。よろしければ、Phishing での検索結果も、ご参照ください。