チェック・ポイント・ソフトウェア・テクノロジーズは12月20日、GoogleカレンダーやGoogle図形描画といった、Googleが提供しているサービスがサイバー犯罪者に悪用されていることを確認したことを発表した。その概要は以下のとおり。
サイバー犯罪者は「送信者(sender)」のヘッダーを改ざんすることで、正規のユーザーになりすまし、あたかもGoogleカレンダーから送信されたかのように見せかけている。
この一連のフィッシング攻撃において、初めのうち攻撃者たちはGoogleカレンダーの機能を悪用し、Googleフォームへ誘導するリンクを埋め込んでいた。しかし、セキュリティ製品が不正なカレンダーの招待を検知できるようになったため、サイバー犯罪者たちは手口を変え、Google 図形描画の機能を悪用する手法へと移行した。
■攻撃の実行手口
最初のメールには、GoogleフォームやGoogle図形描画へのリンク、もしくはそれらのリンクを含むカレンダーファイル(.ics)が含まれている。その後、ユーザーは別のリンクをクリックするように求められるが、このリンクは多くの場合、reCAPTCHAやサポートボタンに偽装されている。
リンクをクリックすると、暗号通貨(仮想通貨)のマイニングのランディングページやビットコインのサポートページに見せかけたページに転送される。
これらのページの実際の目的は金銭的な詐欺を行うこと。ユーザーがそのページにアクセスすると、偽の認証プロセスを完了し、個人情報を入力するように要求され、最終的には支払い情報の提供を求められる。
■この攻撃をブロックするには
●高度な電子メールセキュリティソリューション:
高品質なメールセキュリティソリューションには、添付ファイルのスキャン、URLのレピュテーションチェック、AIによる異常検知などの機能が含まれている。
●サードパーティーのGoogle Appsの利用を監視:サードパーティー製アプリの不審なアクティビティを特定し、警告してくれるサイバーセキュリティツールを活用する。
●強力な認証メカニズムの導入:セキュリティ管理者が取るべき最も重要な対策の一つは、ビジネスアカウントに多要素認証(MFA)を導入すること。さらに、暗号通貨関連サイトへのアクセスを含む、通常とは異なるログイン試行や不審なアクティビティを検出することができる行動分析ツールを実装することも有効。
関連リンク