十月 6, 2021 —

次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、本日、「 Google フォームを悪用して認証情報を取得しデータを外部に流出させるフィッシングやマルウェア」と題した調査レポートを発表しました。この調査では、エントリーレベルの詐欺師から高度なスキルを有するサイバー攻撃者がGoogleフォームを悪用して、組織や個人を対象とした広範な攻撃を実施していることを明らかにしています。

ソフォスの上級脅威リサーチャーであるSean Gallagherは次のように述べています。「マルウェアが暗号トラフィックを悪用する方法を調査しているときに、サイバー攻撃者がGoogleフォームをさまざまな用途で悪用していることが明らかになりました。サイバー攻撃者にとって、Googleフォームは魅力的な攻撃手法の1つです。Googleフォームは実装が簡単であり、組織と一般ユーザーの両方が信頼して利用しています。また、サービス間のトラフィックがTLS(Transport Layer Security)暗号で保護されているため、防御側が簡単に検査できないこと、そして実質的に無料のインフラストラクチャで攻撃を仕掛けることができることです。ソフォス の分析によると、Googleフォームが悪用される多くのケースは、スキルレベルの低いフィッシングや詐欺スパムですが、高度な攻撃にGoogleフォームが悪用されるケースも増えています。ソフォスが検出した攻撃では、Googleフォームを使用してデータを窃取したり、マルウェアのC&C(コマンドアンドコントロール)に利用するケースが確認されています」

ソフォスのリサーチャーがこれまでに確認している、サイバー詐欺師やマルウェア運用者がGoogleフォームを悪用している7つの方法は以下の通りです。

  1. フィッシング:フォームページにはユーザーにパスワードの詳細を入力しないようにGoogleが警告しているにもかかわらず、Googleフォームをログインページのようにレイアウトして標的ユーザーに認証情報を入力させる例をソフォスはいくつも発見しています。これらのフォームは、多くの場合、悪意のあるスパムキャンペーンに紐付けられていました。
  2. 悪意のあるスパムキャンペーン:Googleフォームのリンクがスパムに最も多く含まれる場所の1つは、詐欺関連のマーケティングメールに含まれる「配信停止」リンクでした。ソフォスは、Office365などのマイクロソフトのオンラインアカウントを標的としたスパムを利用する多くのフィッシングキャンペーンを検出しています。このスパムは、受信者のメールアカウントを今すぐに認証しないと利用が停止されると伝えてきます。そして、Microsoftの認証情報を入力するように求めるGoogleフォームへのリンクを提供していました。これらのGoogleフォームのページでは、マイクロソフトのページに見せかけるグラフィックが使用されていましたが、明らかにGoogleフォームでした。
  3. ペイメントカードデータの窃取:エントリーレベルの詐欺師は、Googleフォームにあらかじめ用意されているデザインテンプレートを利用して、「安全な」eコマースページを偽装してペイメントカードデータを盗み出そうとしています。
  4. アドウェアなどのPUA(不要と思われるアプリケーション):ソフォスのリサーチャーは、Windowsユーザーを標的とする多くのPUAを検出しています。これらのアプリは、Googleフォームのページを秘密裏に使用し、ユーザーが操作しなくても、Webリクエストを収集し、自動的にフォームに送信しています。
  5. 悪意のあるAndroidアプリで使用される偽のユーザーインターフェース。ソフォスは、Googleフォームを利用して、バックエンドのWebサイトをコーディングすることなく、データを取得する不正なAndroidアプリケーションをいくつも発見しています。そのほとんどがアドウェアやPUAでした。例えば、「SnapTube」は、Web広告詐欺によって開発者に利益をもたらすビデオアプリで、ユーザーからのフィードバックを収集するためにGoogleフォームのページが用意されています。
  6. データの削除:ソフォスのリサーチャーは、Googleフォームを悪用した、さらに巧妙な脅威も多く検出しています。この中には、GoogleフォームページへのWebリクエストを利用して、コンピュータから盗み出したデータをGoogleフォーム経由でGoogleのスプレッドシートに「プッシュ」する仕組みになっている悪意のあるWindowsアプリケーションも含まれます。
  7. 広範なサイバー攻撃を仕掛けるためのインフラストラクチャ:ソフォスのテレメトリでは、Googleフォームと連動するPowerShellスクリプトが多数検出されています。ソフォスは、PowerShellスクリプトを使用して、コンピュータからWindowsのプロファイルデータをスクレイピング(抽出)し、それを自動的にGoogleフォームに送信することが可能であることも検証しました。

Gallagherは次のように述べています。「Googleは、Googleフォームなどのアプリケーションを大規模かつ不正に使用しているアカウントを頻繁にシャットダウンしていますが、標的ユーザーを絞り込んで、小規模にGoogleフォームを悪用している一部のマルウェアは、これらの監視の目が届かない恐れがあります。企業のサイバーセキュリティ対策チームは、このような脅威に警戒し、認証情報を取得しようとするGoogleフォームや他の正当なサービスへのリンクについて常に注意を払わなければなりません。また、docs.google.comなどの問題がないことが分かっているドメインであっても、これらのドメインを送信先とするTLSトラフィックを基本的には盲目的に信用べきではありません」 
エンドポイント向けのIntercept Xなどのソフォス製品は、フォームベースのフィッシングキャンペーンを仕掛けるほぼすべての悪意のあるスパムからユーザーを保護し、この新しい調査で明らかなったシステム情報を収集する活動も検出します。 
ソフォスはまた、マルウェアやサイバー攻撃の脅威からすべてのユーザーを保護するために、自分や家族がオンラインコミュニケーションやゲームに使用するデバイスに、Sophos Homeなどのセキュリティソリューションをインストールすることを推奨しています。

その他の参考資料

●ソフォスについて 
ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp )をご覧ください。 

●報道関係のお問合せ先 
ソフォス株式会社広報事務局 
Tel: 03-6454-6930 
Email: sophos@ambilogue.com

关于 Sophos

Sophos 是全球领先的先进安全解决方案提供商和创新者,全面安全解决方案涵盖托管式侦测与响应 (MDR) 和事件响应服务,以及广泛的端点、网络、电子邮件和云安全技术。作为最大的纯网络安全厂商之一,Sophos 为全球超过 600,000 家企业和超过 1 亿用户提供防御主动攻击对手、勒索软件、网络钓鱼、恶意软件等威胁的保护。Sophos 的服务和产品通过 Sophos Central 管理控制台连接,并得到公司内部的跨领域威胁情报部门 Sophos X-Ops 的支持。Sophos X-Ops 情报优化整个 Sophos Adaptive Cybersecurity Ecosystem 自适应网络安全生态体系,包括一个中央数据湖,为客户、合作伙伴、开发人员和其他网络安全与信息技术供应商提供一组丰富的开放 API。Sophos为需要完全托管的安全解决方案的组织提供网络安全即服务。客户还可以直接利用 Sophos 的安全运行平台管理其网络安全,或者采用混合方法,为内部团队补充 Sophos 服务(包括威胁追踪与修复)。Sophos 通过世界各地的经销商合作伙伴和托管服务供应商 (MSP) 销售。Sophos 总部位于英国牛津。如欲了解更多信息,请访问 www.sophos.com