Google Apps Scriptを使用したフィッシング

企業のメールアカウントへのログイン情報を盗もうとする者は、最初に、企業のメールサーバーに導入されているフィッシング対策機能によるフィルタリングをすり抜けようとします。検知避けのために正規のWebサービスを利用するのが一般的ですが、この頃はJavaScriptベースのスクリプト言語であるGoogle Apps Scriptが使われるようになっています。

Apps Scriptとは何か、攻撃者はどのように利用するのか

Google Apps Scriptは、Googleサービス内およびサードパーティアプリ内でのタスク（Googleドキュメント向けアドオンを作成するなど）を自動化するために使用される、JavaScriptベースのスクリプト言語です。本来の用途は、スクリプトを作成してGoogleのインフラ内で実行することです。

Google Apps Scriptは、メールを使用したフィッシングの中で、リダイレクトに使用されます。攻撃者は、メール内に悪意あるWebサイトのURLを記載するのではなく、Google Apps Scriptで作成した「スクリプト」へのリンクを記載します。Googleの正規Webサイトへのハイパーリンクは不審なものとは見なされないので、メールサーバーレベルのフィッシング対策機能はメールをフィルタリングしません。攻撃者にとっては、さらに、検知されないフィッシングサイトは長く存続できるという付加的な利点があります。また、必要に応じて（例えばセキュリティ製品によって検知された場合などに）スクリプトを変更する、配信するコンテンツを試す（例えば、受取手の居住地によって異なるバージョンのWebサイトに誘導するなど）という柔軟性もあります。

Google Apps Scriptを使用した詐欺の例

サイバー犯罪者としては、相手にリンクをクリックさせてしまえばしめたものです。最近では「メールボックスがいっぱいです」という文言が添えられているパターンが最も多く見られます。確かに、もっともらしく見えます。

メールボックスがいっぱいであるという通知に見せかけた典型的なフィッシングメール

ただ、メールには粗いところがあり、実際に「メールボックスがいっぱいです」という通知を受け取ったことのない人でも気付くような詐欺の兆候があります。

• メールの送信元はMicrosoft Outlookらしく見えますが、送信元アドレスは無関係なドメインです。メールボックスがいっぱいだという通知は、本物であれば、内部のExchange Serverから届くはずです。（おまけ：送信者名にも怪しいところがあります。「Microsoft」と「 Outlook」の間にスペースが入っておらず、「O」の代わりに数字のゼロが使われています）
• 「Fix this in storage settings」のハイパーリンクにカーソルを合わせると、Google Apps Scriptにリンクしていることが分かります。

メールに記載された、Google Apps Scriptへのリンク

• メールボックスが突然いっぱいになることはありません。容量が少なくなってくると、上限に達するよりもずっと前に、Microsoft Outlookから警告が届きます。いきなり850MBも上限を超えるような事態になるのは、それだけの量のスパムメールを一気に受け取ったときくらいのものですが、そのようなことはまずあり得ません。Microsoft Outlookの通知の本物は、以下のとおりです。

メールボックスがほぼいっぱいになったときに届く本物の通知

• 「Fix this in storage settings」のリンクは、フィッシングサイトに通じています。このメールから誘導されるフィッシングサイトの場合、OutlookのWebインターフェイスのログインページにかなり似せてありますが、ブラウザーのアドレスバーを見ると、Microsoft社のWebサイト上ではなく偽物のWebサイトであることが分かります。

このようなメールに引っかからないために

経験上、フィッシングメールには必ずフィッシングサイトへのリンクが含まれているとは限りません。したがって、企業のセキュリティにおいては、メールサーバーレベルでのフィッシング対策と社員のコンピューターでのフィッシング対策の両方が必須です。

これに加え、現在のサイバー脅威とフィッシング詐欺に関するトピックを網羅した意識向上トレーニングを、社員に対して継続的に実施することも重要です。