Googleドキュメントを利用した、Microsoft 365ログイン情報を狙うフィッシング

Microsoftのオンラインサービスのアカウント情報を手に入れようとするフィッシング詐欺。Googleのオンラインサービスを利用する手口を今回は見ていきます。

多くの企業では、テレワークの導入に伴って業務フローのかなりの部分がオンラインに移行することになり、新しいコラボレーションツールに慣れる必要が出てきました。特にMicrosoft 365(旧Office 365)は、利用が拡大しています。と同時に、ご想像のとおり、Microsoft 365のアカウント情報を狙うフィッシングが増えています。Microsoftのログインページによく似た偽のWebサイトを用意し、ログイン用のパスワードを入力させようとするフィッシング詐欺にはさまざまなパターンがありますが、今回ご紹介するのは、Googleのサービスを利用した手口です。

フィッシングメール

フィッシング詐欺はだいたいメールから始まるものですが、この手口も同様です。以下の画像は、フィッシングメールの例です。

Googleドキュメントへのリンクが付いたフィッシングメール

Googleドキュメントへのリンクが付いたフィッシングメール

知らない誰かから届いたこのメールは何らかの預入金に関するものらしく、「Deposit Advice」なる文書へのリンクが付いており、預入金に関する情報の確認を求めるような文面です。メールの冒頭には、このメールが社外から送られたものであることをセキュリティシステムが警告する一文(「CAUTION」で始まる文)が付記されていますが、メール内のリンクが指しているのがフィッシングサイトではなく正規のGoogleサービスであることから、検閲をパスしたようです。

フィッシングサイト

このリンクをクリックすると、OneDriveらしきページが表示されます。さらに、社内の人なら閲覧可能なファイルも置かれているようです(このページへのリンクを誰かが社内の経理担当に送ってくれることを期待して、このような作りになっていると思われます)。

OneDriveのインターフェイスに似せたGoogle スライド

OneDriveのインターフェイスに似せたGoogle スライド

しかし、表示されている画面は、実際にはWebページではありません。これはGoogleスライドのページが、自動的に閲覧モードで開いたものです。[Open(開く)]ボタンは実際のリンクを隠しており、隠れたリンクをクリックすると、Microsoft 365のサインインページに見せかけたフィッシングページが開きます。

偽のサインインページ

偽のサインインページ

危険信号

そもそも、このメールは妙です。このように出所も目的もはっきりしないメールは、決して信用してはならず、誰かに転送するなどもってのほかです。例えばこのメールの場合、あなた自身がお金の預入に関わっていないのであれば、おそらく、何もしないのが一番の対策です。

メールの怪しい点は、このほかにもあります。

  • 社外から届いたメールが社内文書にひも付いていることは、まずあり得ない。
  • 本物の財務経理関連文書なら、社内の誰でも見られるようになっているのではなく、特定の人しか開けないように設定されているはずである。
  • メール内にあるファイル名と、OneDrive上にあるように見せかけてあるファイルの名前が一致していない。
  • Googleドキュメント上にMicrosoft OneDriveのページがあるのはおかしい(OneDriveのページらしきものが表示されているのに、アドレスバーには「google.com」と表示されている)。
  • OneDriveはOutlookではないので、[Open]ボタンをクリックしたときにOutlookのサインインページが表示されるのはおかしい。
  • OutlookのサインインページがAmazonのWebサイト上にあるのはおかしい(アドレスバー内のアドレスに「com」と表示されている)

上記は個別に見ても怪しい感じがしますが、これだけ揃うと、不審なメールであることに間違いはなさそうです。こんなメールに反応してMicrosoft 365のログイン情報を入力してしまうのは危険です。

安全のための対策

安全のポイントは、細かいところに注意を払うことと、フィッシングの手口を知ることです。したがって、フィッシングに関する知識を社内の皆に身に付けてもらうことをお勧めします。

社員教育にプラスして、リンクをスクリーニングする機能を持つツールを企業レベルそしてエンドポイントレベルに導入することをお勧めします。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?