Office 365ユーザーを標的とする同様のスパムキャンペーン
ソフォスは10月6日、「Google フォームを悪用して認証情報を取得しデータを外部に流出させるフィッシングやマルウェア」と題した調査レポートを発表した。Googleフォームを悪用した組織や個人を対象とした広範な攻撃を行なわていることがわかったという。
マルウェアが暗号トラフィックを悪用する方法の調査において判明したとしている。Googleフォームは簡単に実装でき、組織と一般ユーザーの両方が信頼して利用しているが、サービス間のトラフィックがTLS(Transport Layer Security)暗号で保護されていることから防御側が簡単に検査できず、なにより実質的に無料のインフラストラクチャーで攻撃を仕掛けることができることから使われている。
攻撃手法として、フォームページにはユーザーにパスワードの詳細を入力しないようにGoogleが警告しているにもかかわらず、Googleフォームをログインページのようにレイアウトすることで標的ユーザーに認証情報を入力させるフィッシングが多いという。また、マーケティングメールに含まれる「配信停止」リンクに仕掛けることでパスワードを盗む手法、eコマースページの偽装、不正なAndroidアプリなどが確認されている。
さらに、広範なサイバー攻撃を仕掛けるためのインフラストラクチャーとして、Googleフォームと連動するPowerShellスクリプトが多数検出されており、コンピューターからWindowsのプロファイルデータを抽出し、自動的にGoogleフォームに送信可能なことも検証したという。
Googleでは、Googleフォームなどのアプリケーションを大規模かつ不正に使用しているアカウントを頻繁にシャットダウンしているものの、標的ユーザーを絞り込んでで小規模に悪用している一部のマルウェアには監視の目が届かないこともある。認証情報を取得しようとするGoogleフォームや、正当なサービスへのリンクについて常に注意を払う必要があるとしている。ソフォスでは、エンドポイント向けセキュリティー製品「Intercept X」など同社製品においてフォームベースのフィッシング・スパムへの対策機能を備えているとともに、この種の攻撃活動の情報を収集している。
