google[.]comのオープンリダイレクト、またもフィッシングで悪用される

佐々山 Tacos

2025.05.15

google[.]comのオープンリダイレクト、またもフィッシングで悪用される

SANS Technology Institute – 2025-05-14

google[.]comにおけるオープンリダイレクトの脆弱性を悪用するフィッシングキャンペーンについて、SANS Internet Storm CenterのアナリストJan Kopriva氏が報告。このキャンペーンは、Googleが「ホテル検索」サービスのユーザーを希望の予約用Webサイトにリダイレクトするために使用する正規のコンポーネント「google[.]com/travel/clk」を使い、フィッシングメールの受信者を悪意あるサイトへ誘導しようとするものだったという。

Kopriva氏は数週間前、「あなたのhandlers@isc.sans.eduのアカウントで異常が発見され、安全に保つためにブロックしました。ブロックを解除するには、このURLからログインしてください」などといった文言で構成されるフィッシングメールに遭遇。ここに埋め込まれたリンクは、以下のようなものだったという：hxxps[:]//www.google[.]com/travel/clk?pc=AA80OszwkVHH1Tdfi56QAdQ_qVxXAshiA3B9c5Xj-yHvKSRKOZ_ubTR2ikBZgLobE7ppW5UXflJXGMDLd8l_6VMqW29-pVtc74CE_CVpzmjjwpit_N-vSU8PtmXTZ1FKy2YJIg&pcurl=hxxps[:]//purplepantry.hstn[.]me/limeoggy/?eca=handlers@isc.sans.edu

Kopriva氏が突き止めたところによると、URL内の「/travel/clk」というエンドポイントは、「Googleホテル検索」で正規のクリックスルー追跡のために使用されるもの。Googleホテル検索で任意のホテルを選択し、少し下にスクロールすると、当該ホテルを予約できる外部サイトのオプションが表示される。そして右側にある「サイトを見る」にこのリンク（hxxps[:]//www.google[.]com/travel/clk?pc= …）が埋め込まれており、ユーザーがこれをクリックすると各予約サイトへリダイレクトされるようになっている。

Kopriva氏によれば、上記のURLは常に以下の形を取るという：

hxxps[:]//www.google[.]com/travel/clk?pc=[トークン]&pcurl=[ターゲットサイトのURL]

ユーザーがこのリンクをクリックすると、ブラウザは/travel/clkに短時間タッチダウンした後、「pcurl」で指定されたターゲットサイトにリダイレクトされる。しかしKopriva氏は、「pc」パラメータはリダイレクトを発生させるか否かのみを制御するものであり、ユーザーがどのサイトへ送られるのかは制限しないことから、悪用のチャンスが生まれていると指摘。またpc以下のトークンには目視可能な有効期限メカニズムがない点も問題で、これにより「Googleホテル検索」からいずれかの有効なトークンを取得し、ユーザーを目的のURLへ飛ばすために当該トークンを数週間あるいは数か月間使い回すといったことも可能な状態だという。実際にKopriva氏が4月30日に観測したフィッシングメール内で使われたトークンと同じものが、2月の別のフィッシングでも使われていたことがわかっている。

トークンの値は暗号的に保護されているため、脅威アクターが自ら有効なトークンを生成することは困難だと思われる。しかしKopriva氏らは、Googleホテル検索のページにアクセスし、有効なリンクからトークンをコピーするだけで新しいトークンを取得できることを突き止めている。つまり、/travel/clkリダイレクト機能は至ってシンプルなステップで悪用可能だという。またこの悪用は遅くとも2023年8月2日には始まっており、2023年のフィッシングURLで使用されたトークンは現在も機能しているため、トークンの寿命は非常に長いか無限である可能性が高いとされる。

Kopriva氏は「残念ながら、Googleのオープンリダイレクトが悪用されるのはこれが初めてではない」として、こうした脆弱性がすでに実際のフィッシングベクターとして利用されており、単なる「理論上のリスク」ではなくなっているのが現実だと指摘。組織の内部セキュリティチームに対しては、Eメール（およびその他のタイプのメッセージ、もしその機能があれば）に表示される「google.com/travel/clk」リンクにフラグを立てるか、サンドボックスに入れることを暫定的な対策として推奨した。