フィッシングメールの詐欺の被害に遭わないために最も気を付けるべきこと、それは、メール内に含まれたURLをよく確認してからリンクをクリックすることです。ただそこにはもう一つの危険が潜んでいます。それは、Google翻訳を使って翻訳されたページへ移動するリンクです。合理的に考えれば、メールを送信した人が異なる言語を使うメール受信者のために、Google自動翻訳のリンクを追加して別の言語のサイトを用意した可能性が高いでしょう。しかし実際には、フィッシング対策をかいくぐるテクニックとしてGoogle翻訳が使われていることが明らかになりました。メールの本文が直接業務に関係するもので、リンクをクリックした後、開いたサイトでメールの認証情報を入力するように求められた場合は、ブラウザーを閉じて、すぐにメールを削除することをお勧めします。
攻撃者がGoogle翻訳のリンクを使用する理由
Google翻訳のリンクを悪用した最近のフィッシングメールの事例を見てみましょう。
メールの送信者は、添付ファイルが受信者に宛てた何らかの請求書だと主張し、契約に関する打ち合わせのプレゼン資料とそれ以降の支払いについて内容を確認するよう求めています。[Open] ボタンのリンク先はGoogle翻訳で翻訳されたサイトに移動するようになっていますが、それがわかるのはボタンをクリックした後です。メール内でのリンクは次のように表示されます。
不自然な英語の言い回しはおそらく意図的なものです。攻撃者が英語のネイティブスピーカーではないという印象を与えて、Google翻訳へのリンクがあっても不思議ではないとメール受信者に思わせるためです。ただ、単に攻撃者が実際に使われるファイナンス関係のメールを見たことがないという可能性もあります。画像下部の2つのリンク(「Unsubscribe From This List(このメーリングリストの登録を解除する)」と「Manage Email Preferences(メール配信設定を管理する)」)、さらにリンクのsendgrid.netドメインにも注意してください。
これらは、メッセージが手動で送信されたのではなく、合法的なメーリングサービスから送信されたことを示しています。今回のケースは、SendGridサービスが使われましたが、他のESP、メールサービスプロバイダーが使用される可能性もあります。メーリングサービスを提供する企業は、通常、自社の信用を守るために、フィッシング目的のメールキャンペーンを定期的に削除し、そういったユーザーをブロックします。攻撃者がリンクをGoogle翻訳で経由させるのはこのためです。ESPのセキュリティメカニズムは、Googleドメインが正規のものであることのみ確認して、サイトのURL自体が悪意のあるものかどうかまでチェックしません。つまり、正規のドメインへのリンクを使って標的であるエンドユーザーを偽のサイトへ誘導することが可能であり、仲介サービスのフィルターも回避しています。
Google翻訳で翻訳されたページのリンクはどう表示されるのか
Google翻訳は、リンクを入力し、元の言語と翻訳先の言語を選択するだけでWebサイト全体が翻訳されます。結果のページのリンクでは、元のドメインがハイフンで結ばれ、URLにドメインtranslate.googが追加され、その後に元のページの名前と、翻訳前と後の言語を示すキーが続きます。たとえば、カスペルスキーの英語版ブログのホームページwww.kaspersky.com/blogをスペイン語に翻訳した場合のURLは、次のようになります:www-kaspersky-com.translate.goog/blog/?_x_tr_sl=auto&_x_tr_tl=es&_x_tr_hl=en&_x_tr_pto=wapp.
当社が解析したフィッシングメールの事例では、以下のサイトにユーザーを誘導しようとしていました。
ブラウザーのアドレスバーには、ランダムなアルファベットの文字列が表示されていますが、Google翻訳で翻訳されたことは明らかです。
だまされないために
企業の従業員がサイバー犯罪者の罠にはまらないようにするためには、フィッシングの手口に関して、従業員を対象に定期的にトレーニングの機会を設けることを推奨します。当社の関連ブログのリンクを共有する方法もあります。最も効果的なのは、当社の目的に特化した学習ツールを利用して、現代のサイバー脅威についての理解を深めることです。トレーニングを受講していれば、上で述べた例のように、フィッシングページにまで進むことはありません。企業のファイナンス関連の書類が、個人宛てにESPサービス経由で送信されることは通常あり得ないからです。ESPベースのフィッシングについての記事を以前投稿していますので、これを機にご一読ください。
また、企業のメールサーバーレベルと全従業員のデバイスの両方で、フィッシング対策を含むソリューションを導入することも推奨します。