2017年5月3日(米国時間)、報道によると、Gmail のアカウントを狙って、正規のアプリケーションに偽装した「Google Docs」へのリンクに誘導する巧妙なフィッシング攻撃が確認されました。この攻撃は 、Google Docs の正規のアプリに巧みに偽装したサードパーティのアプリケーションを利用した非常に効果的なもので、典型的なフィッシング攻撃に比べて気付くのが困難です。
このフィッシング攻撃は、ユーザの Gmail アカウント宛に既知の連絡先から文書を共有するメールが発端となります。問題のフィッシングメールには Google の本物の認証ページへのリンクが貼られており、クリックするとユーザが利用する Google アカウントの一覧が表示されます。ユーザがアカウントを選択すると、正規のアプリと誤解するような Google Docs という名称のアプリケーションからメールの管理と連絡先へのアクセスを要求されます。ここで許可を与えてしまうと、攻撃者はユーザの受信トレイと連絡先にアクセスできるようになり、メールの送受信が可能になります。この不正なアプリケーションは犠牲者の連絡先に含まれるすべてのアドレス宛に、最初のフィッシングメールを複製して送信します。結果、短時間での拡散が可能になります。
通常のフィッシング攻撃とは異なり、この Google Docs アプリケーションはユーザのパスワードを要求しません。その代わり、ユーザのオンラインアカウントにログインして情報を収集するために、最近の Pawn Storm の攻撃のように権限の認可をユーザの代理で行う認証用プロトコル「OAuth」を利用します。 Google は掲示板サイト「Reddit」への書き込みを通してこの攻撃を知り、1時間も経たないうちに不正なアプリケーションを削除し、この問題に対処しました。同社は公式 Twitter アカウントで下記のような声明を発表しています。
Google はこのフィッシング攻撃の影響が疑われるすべてのユーザに対して、「https://myaccount.google.com/permissions」にアクセスし、自身のアカウントへのサードパーティ製アプリケーションによる過去のアクセスを確認するように推奨しています。
今回の事例から、サイバー犯罪者がしばしば一般企業の正規のツールを利用して彼らの攻撃を偽装することがわかります。このキャンペーンに関して現在マルウェアは見つかっていませんが、この手法が急速に拡散する攻撃に利用される可能性は明白です。このようなフィッシング攻撃への対策として、たとえそれが知人から送信されたメールだとしても、ユーザはリンクやファイルに対して極めて慎重な態度を取るべきです。Google は現在このような攻撃の再発を防ぐための解決策に取り組んでいますが、当分の間は安全を確認する前にはどのようなリンクもクリックしないことを推奨します。
■トレンドマイクロの対策
トレンドマイクロの製品は、クラウドベースのプラットフォームを利用した脅威からユーザを保護します。 クラウド型業務アプリケーションのセキュリティを向上する「Trend Micro Cloud App Security™」は、トレンドマイクロのコア技術であるサンドボックスや、レピュテーション技術をクラウド型業務アプリケーションに活用する機能を実装し、Office 365 の Exchange Online、SharePoint Online、OneDrive for Business およびBox、Dropbox、Google ドライブ向けにセキュリティ対策を施します。 また、「Deep Discovery™ Email Inspector」は、従来のメールセキュリティ製品では防御困難な標的型メール攻撃対策製品です。パターンファイルによる検出が難しい不正添付ファイルも、クリックしないと不正の有無が分からないURLリンクも、カスタムサンドボックスによって検証・ブロックします。
参考記事:
- 「Attack Uses Fake Google Docs Application to Access Gmail Accounts」 by Trend Micro
翻訳:澤山 高士(Core Technology Marketing, TrendLabs)