ニュース

巧妙なのであらためて注意、Google ドライブ上の偽Googleログインページ再び

 Google ドライブを悪用して偽のGoogleログインページを公開する巧妙な手口がまた使われていることを、米Symantecが5月21日付の同社公式ブログで報告している。

 この手口は、偽ログインページのファイルをGoogle ドライブ上で公開し、プレビュー機能で発行されたそのファイルの共有URLをフィッシングメールなどで拡散するというもの。「重要文書をGoogle Docsで公開した」などとしてそのURLへ誘導するわけだが、アクセス先がGoogle Docsということで、Googleのログインページが表示されてもあまり不自然に思われない。また、偽ログインページがホスティングされているのがGoogle ドライブの正規ドメインであり、SSL接続であることも相まって、本物らしく見せるのに非常に効果的だという。

偽のGoogleログインページ(Symantec公式ブログから画像転載)

 一方で詐欺者は今回、細かいミスをしているという。ページ右下にある言語選択のプルダウンメニューで各言語の文字列の両端に「?」が文字化けのように表示されるというものだ。原因は偽ページの複製を保存する際の不注意でエンコーディングが変わってしまったためらしい。いずれにせよ、目立たない部分であり、仮にこれに気付いたとしても小さなバグか自身のPCの環境によるものと判断してしまうと思わる。この部分から偽ログインページと見抜くのは難しいという。

 偽ログインページに“ログイン”してしまうと、用意した別のGoogle Docs文書にリダイレクトされるため、(文書の内容は別にして)ごく自然な流れと言える。一方で、その裏では入力された認証情報が外部サーバーに送信される。送信先サーバーにあったPHPスクリプトの名称が、3月に発見した際に使われていたものと同じだったことから、同じ詐欺グループが関与しているか、少なくとも同一のフィッシング攻撃ツールが使われているとSymantecではみている。

 Symantecによると、こうした攻撃はURLを注意深く確認することで正規のログインページではないことが分かるほか、ページのHTMLソースを見ることで外部サーバーのPHPスクリプトにデータを渡すようになっていることも分かるという。

 しかし、一般ユーザーにとって気が付くのは難しいとも指摘し、セキュリティ対策ソフトを利用することが重要だとしている。また、心当たりのないメールの添付ファイルを開いてはいけないという一般的なセキュリティの心得は、クラウド上の文書ファイルへのリンクであっても守らなければならないと言えそうだ。

 攻撃者は窃取した認証情報を使って、被害者のGoogleアカウントに不正アクセスするものと考えられる。Symantecでは引き続き、Googleユーザーに対して二要素認証を使用することと、セキュリティ対策ソフトを最新状態で使用するようアドバイスしている。同社製品でもこの攻撃の検出に対応している。

 なお、Symantecではこの攻撃手法について、3月の時点でGoogleに通知済みだとしている。

 このほか、フィッシングではなく、Google ドライブ上のスタティックなHTMLページからマルウェアを仕込んだサイトへリダイレクトさせるケースもSymantecでは確認しているという。

(永沢 茂)