ソフォスの調査によって明らかになった、サイバー詐欺師やマルウェア運用者がGoogleフォームを悪用する7つの常套手段

Sophos Press Release

次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、本日、「 Google フォームを悪用して認証情報を取得しデータを外部に流出させるフィッシングやマルウェア」と題した調査レポートを発表しました。この調査では、エントリーレベルの詐欺師から高度なスキルを有するサイバー攻撃者がGoogleフォームを悪用して、組織や個人を対象とした広範な攻撃を実施していることを明らかにしています。

ソフォスの上級脅威リサーチャーであるSean Gallagherは次のように述べています。「マルウェアが暗号トラフィックを悪用する方法を調査しているときに、サイバー攻撃者がGoogleフォームをさまざまな用途で悪用していることが明らかになりました。サイバー攻撃者にとって、Googleフォームは魅力的な攻撃手法の1つです。Googleフォームは実装が簡単であり、組織と一般ユーザーの両方が信頼して利用しています。また、サービス間のトラフィックがTLS(Transport Layer Security)暗号で保護されているため、防御側が簡単に検査できないこと、そして実質的に無料のインフラストラクチャで攻撃を仕掛けることができることです。ソフォス の分析によると、Googleフォームが悪用される多くのケースは、スキルレベルの低いフィッシングや詐欺スパムですが、高度な攻撃にGoogleフォームが悪用されるケースも増えています。ソフォスが検出した攻撃では、Googleフォームを使用してデータを窃取したり、マルウェアのC&C(コマンドアンドコントロール)に利用するケースが確認されています」

ソフォスのリサーチャーがこれまでに確認している、サイバー詐欺師やマルウェア運用者がGoogleフォームを悪用している7つの方法は以下の通りです。

  1. フィッシング:フォームページにはユーザーにパスワードの詳細を入力しないようにGoogleが警告しているにもかかわらず、Googleフォームをログインページのようにレイアウトして標的ユーザーに認証情報を入力させる例をソフォスはいくつも発見しています。これらのフォームは、多くの場合、悪意のあるスパムキャンペーンに紐付けられていました。
  2. 悪意のあるスパムキャンペーン:Googleフォームのリンクがスパムに最も多く含まれる場所の1つは、詐欺関連のマーケティングメールに含まれる「配信停止」リンクでした。ソフォスは、Office365などのマイクロソフトのオンラインアカウントを標的としたスパムを利用する多くのフィッシングキャンペーンを検出しています。このスパムは、受信者のメールアカウントを今すぐに認証しないと利用が停止されると伝えてきます。そして、Microsoftの認証情報を入力するように求めるGoogleフォームへのリンクを提供していました。これらのGoogleフォームのページでは、マイクロソフトのページに見せかけるグラフィックが使用されていましたが、明らかにGoogleフォームでした。
  3. ペイメントカードデータの窃取:エントリーレベルの詐欺師は、Googleフォームにあらかじめ用意されているデザインテンプレートを利用して、「安全な」eコマースページを偽装してペイメントカードデータを盗み出そうとしています。
  4. アドウェアなどのPUA(不要と思われるアプリケーション):ソフォスのリサーチャーは、Windowsユーザーを標的とする多くのPUAを検出しています。これらのアプリは、Googleフォームのページを秘密裏に使用し、ユーザーが操作しなくても、Webリクエストを収集し、自動的にフォームに送信しています。
  5. 悪意のあるAndroidアプリで使用される偽のユーザーインターフェース。ソフォスは、Googleフォームを利用して、バックエンドのWebサイトをコーディングすることなく、データを取得する不正なAndroidアプリケーションをいくつも発見しています。そのほとんどがアドウェアやPUAでした。例えば、「SnapTube」は、Web広告詐欺によって開発者に利益をもたらすビデオアプリで、ユーザーからのフィードバックを収集するためにGoogleフォームのページが用意されています。
  6. データの削除:ソフォスのリサーチャーは、Googleフォームを悪用した、さらに巧妙な脅威も多く検出しています。この中には、GoogleフォームページへのWebリクエストを利用して、コンピュータから盗み出したデータをGoogleフォーム経由でGoogleのスプレッドシートに「プッシュ」する仕組みになっている悪意のあるWindowsアプリケーションも含まれます。
  7. 広範なサイバー攻撃を仕掛けるためのインフラストラクチャ:ソフォスのテレメトリでは、Googleフォームと連動するPowerShellスクリプトが多数検出されています。ソフォスは、PowerShellスクリプトを使用して、コンピュータからWindowsのプロファイルデータをスクレイピング(抽出)し、それを自動的にGoogleフォームに送信することが可能であることも検証しました。

Gallagherは次のように述べています。「Googleは、Googleフォームなどのアプリケーションを大規模かつ不正に使用しているアカウントを頻繁にシャットダウンしていますが、標的ユーザーを絞り込んで、小規模にGoogleフォームを悪用している一部のマルウェアは、これらの監視の目が届かない恐れがあります。企業のサイバーセキュリティ対策チームは、このような脅威に警戒し、認証情報を取得しようとするGoogleフォームや他の正当なサービスへのリンクについて常に注意を払わなければなりません。また、docs.google.comなどの問題がないことが分かっているドメインであっても、これらのドメインを送信先とするTLSトラフィックを基本的には盲目的に信用べきではありません」
エンドポイント向けのIntercept Xなどのソフォス製品は、フォームベースのフィッシングキャンペーンを仕掛けるほぼすべての悪意のあるスパムからユーザーを保護し、この新しい調査で明らかなったシステム情報を収集する活動も検出します。
ソフォスはまた、マルウェアやサイバー攻撃の脅威からすべてのユーザーを保護するために、自分や家族がオンラインコミュニケーションやゲームに使用するデバイスに、Sophos Homeなどのセキュリティソリューションをインストールすることを推奨しています。

その他の参考資料

●ソフォスについて
ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。 

●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com

ソフォスについて

ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com をご覧ください。