始まりはささやき声でした。平凡な火曜日の朝、受信トレイに届く数通の控えめなメール。何の変哲もない、一見すると眉をひそめるようなメール。しかし、見慣れたクラウド・サービスのロゴと綿密に作られた通知の裏には、AIを駆使した革新的な新種のフィッシング・キャンペーンがあったのです。これはありきたりのフィッシングではなく、クラウドネイティブの待ち伏せであり、企業のセキュリティの人的レイヤーを直接脅かすものでした。
Aryaka Threat Research Labs は、Google Cloud Storage (GCS) を悪用し、詐欺的なリダイレクトやフィッシングサイトをホストするクラウドベースのフィッシングキャンペーンを新たに発見しました。これらの攻撃は、ソーシャルエンジニアリングと正当なクラウドインフラストラクチャの悪用を組み合わせたもので、ユーザーがGoogleのドメインに寄せる固有の信頼を悪用し、金銭的な動機に基づく詐欺を実行します。
このキャンペーンは、電子メール認証のギャップを悪用することで、脅威者がいかに企業の防御を迂回しているかを浮き彫りにしています。SPFチェックはパスするものの、DKIMシグネチャを欠き、脆弱なDMARCポリシーによって強化されたメッセージを送信することで、攻撃者は受信者にもメールセキュリティシステムにも正規のメールに見せかけ、侵害を成功させる可能性を高めることができます。
後述する攻撃モデルの全体像を理解しましょう:
- 電子メールのなりすまし:攻撃者は、GmailやGoogle Driveなどの信頼できるサービスになりすまし、プロフェッショナルなメッセージングと説得力のある件名(「サブスクリプション終了のお知らせ」など)を使用してフィッシングメールを送信します。
- GCS ホスト型リダイレクト:メールはGoogle Cloud Storage (GCS)がホストするHTMLファイルにリンクしており、被害者のブラウザでJavaScriptリダイレクトを実行し、静的スキャナやURLフィルタを回避します。
- CAPTCHAの回避:リダイレクトチェーンにはCAPTCHAチャレンジが含まれており、自動解析を回避し、ユーザーに合法的に見せかけることができます。
- 詐欺的な特典ポータルサイト:被害者は、登録や入金を促す偽の懸賞やボーナスのウェブサイトに誘導されます。
- ユーザーとブラウザーのデータ収集攻撃者は、詳細なユーザーとブラウザのメタデータを収集し、Mixpanel、Google Analytics、Amplitudeなどの分析プラットフォームに送信して、行動を追跡し、キャンペーンを最適化します。
- 信頼されたクラウド基盤の悪用:脅威の主体は、検知を回避するために正当なクラウドプラットフォームを活用し、詐欺の発見をより困難にし、より効果的なスケールにします。
このアプローチは、合法的なクラウドプラットフォームが攻撃対象の一部となるという、サイバー犯罪の進化を浮き彫りにしています。悪意のあるコンテンツを不審なドメインでホスティングする代わりに、脅威者はGoogleの信頼されたインフラを悪用して監視を回避することで、こうした詐欺の検出を困難にし、より効果的なスケールを実現します。
Aryaka Threat Research Labsは、この不正使用をGoogle Cloudに責任を持って開示し、修復を支援するとともに、Google Cloudのインフラストラクチャのさらなる不正使用を防止しました。また、Proofpoint Emerging Threatsリサーチチームと連携し、この活動をカバーするように検出ルールセットを更新しました。
Emerging Threatsも言及したこの共同作業は、進化するクラウドベースの脅威に対処するサイバーセキュリティ・コミュニティの強さを強調するものです。これは、集団防衛の力と、より大きな利益のためにインテリジェンスを共有することの重要性の証です。
信頼が悪用されると、クラウド時代における欺瞞の最も強力な要因の1つになるということです。
レポート全文はこちら >>