-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
フィッシング師がGoogle OAuthを悪用、DKIMリプレイ攻撃でGoogleになりすます
BleepingComputer – April 20, 2025
Googleのインフラを利用し、あらゆるEメール認証をパスした本物そっくりのフィッシングメールを送信する巧妙な攻撃について、暗号資産開発者のNick Johnson氏とEメール認証企業のEasyDMARCが報告。この偽メールはあたかも「no-reply@google[.]com」というGoogleのシステムから自分宛に送られてきたように見え、DKIM認証もパスしているものの、実際にはGoogleから攻撃者のメールアドレスへ送られたメールが、被害者宛に転送される「DKIMリプレイ攻撃」の手法が用いられているのだという。
フィッシングメールの特徴
Johnson氏は4月16日、Xへの投稿の中で「最近、私は非常に巧妙なフィッシング攻撃の標的にされました。そのことをここで紹介したいと思います」と述べ、Googleからのセキュリティ通知に見せかけたフィッシングメールのスクリーンショットを添付。この投稿に続くスレッドにおいて、攻撃の概要や大まかな流れを説明した。これによると、送られてきた偽セキュリティ通知には以下のような特徴があったという。
- メールヘッダの「From:」欄には「Google <no-reply@google[.]com>」の記載があり、Googleから送られてきたメールのように見える
- DKIMの署名検証をパスしている
- Gmailのセキュリティ警告メッセージは表示されていない
- メールの内容は、「法執行当局が、受信者(このケースではJohnson氏)のGoogleアカウントのコンテンツに対する文書提出命令を出している」と伝える内容
疑わしい点①:サポートページのホスト先が「sites.google.com」
フィッシングメール本文には「Google Support Case」というサイトのURLが記載されており、法的手続きの詳細や抗議の方法については同サイトへアクセスして確認するよう促している。しかしJohnson氏は、この偽サポートサイトが本来の「accounts.google.com」ではなく、「sites.google.com」でホストされている点に着目。これは「Googleサイト」という同社が提供する無料ホームページ作成ツールのドメインであることから、疑念を抱くに至った。google.comのサブドメインを使って正規のGoogleサポートページのように見せかけている点について同氏は、「人々はドメインが『http://google[.]com』なのを見て本物だと信じ込む」ことを攻撃者もわかっていると指摘している。
疑わしい点②:送信元および宛先
前述の通りフィッシングメールはGoogleが送り主のような外観になっているものの、メールヘッダを詳しく見てみると、「送信元:」のフィールドには「fwd-04-1[.]fwd[.]privateemail[.]com」、「To:」フィールドには「me@googl-mail-smtp-out-198-142-125-38-prod[.]net」という記載があったという。
疑わしい点③:大量の空白スペース
メール本文は、冒頭に文書提出命令に関する文章やURLが記載されており、その後に大量の空白スペースが使用されている。そして空白部分が終わると、末尾には「GoogleのリーガルサポートはあなたのGoogleアカウントに対するアクセスを付与されました」という一文とともに「me@googl-mail-smtp-out-198-142-125-38-prod[.]net」のアドレスが記載されていた。
攻撃の流れ
Johnson氏は上記のような手がかりを踏まえ、今回のフィッシング攻撃は以下のような流れで行われたと説明している。
①攻撃者はまずドメイン(今回のケースではgoogl-mail-smtp-out-198-142-125-38-prod[.]net)を登録し、「me@登録したドメイン」のGoogleアカウントを作成。「me」を用いることで、最終的にフィッシングメールがターゲットのメール受信箱へ届いた際、メール上部の「To」欄が「me」となり(日本語で考えると「To 自分」)、ターゲットに自身宛のメールだと思い込ませることができる
②攻撃者は次にGoogle OAuthのアプリケーションを作成。前述のフィッシングメッセージ全文(空白スペース部分含む)を、アプリケーション名として登録する。
③このOAuthアプリに対し、攻撃者は①で作成したme@googl-mail-smtp-out-198-142-125-38-prod[.]netに紐づくGoogleアカウントへのアクセスを付与。このアクションにより、Googleから「セキュリティ通知」メッセージが生成され、me@googl-mail-smtp-out-198-142-125-38-prod[.]netのメールアドレスへ送られる。このメールはGoogleが生成したものであるため、正規のDKIMキーで署名されており、すべてのチェックに通過した状態となっている。
④Googleから送られてきた③のメールを、Namecheap PrivateEmailのメール転送機能を使用してターゲットへ転送。
なお、上記の流れのさらなる詳細は、EasyDMARCのブログ記事で紹介されている。
GoogleはOAuthの問題に対処中
Johnson氏はこの攻撃を可能にしたOAuthの欠陥についてGoogleへ報告。当初は「意図された挙動」であり、セキュリティバグとはみなされないという回答が返ってきたものの、その後Googleは方針を転換し、現在このバグの解消に向けて取り組んでいるとのこと。
Eブック無料配布中:Codebook 2024 ~サイバーセキュリティ分析レポート~
Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらのバナーから:
目次
第1章:脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法
第2章:世界情勢や地政学がサイバーセキュリティにもたらす影響
第3章:スティーラーの急成長と認証情報の漏洩が生むリスク
第4章:サプライチェーンリスク
第5章:2024 年に組織を脅かした脆弱性
