Googleの各種サービスを利用したスパムの手口

2019年6月18日

Googleは単なる検索ツールではありません。何十億もの人々が日々利用する、さまざまなサービスの集合体です。Gmail、Googleカレンダー、Googleドライブ、Googleフォト、Google翻訳…まだまだあります。さらに、これらはすべて相互に連携しています。GoogleカレンダーとGmail、GmailとGoogleドライブ、GoogleドライブとGoogleフォト、といった具合です。

Googleに一度登録すれば、こういったサービスを全部使えるようになります。サービス間でファイルやデータを移動する必要もありません。そこはGoogleが全部やってくれます。このように実に便利ですが、その一方で、インターネット上で暗躍する詐欺師が、Googleのサービスの利便性を悪用して、スパムメールやもっと悪い何かを配信するようになってきました。

スパムの経路に使われるGoogleのサービス:カレンダー、フォト、ドライブ、ストレージ、アナリティクス、フォーム

スパマー(スパムメールの配信者)の主な仕事は、スパムフィルターを回避して受信トレイにメールを届けることです。さて、Googleの各サービスは頻繁にGmailへメール通知を送信しますが、Googleのスパム対策モジュールは、Googleのサービスから送られてきた通知にはスパムフラグを付けないようになっています。これを念頭に置いて、スパマーがどのGoogleのサービスを、どのように使っているのか、見ていきましょう。

Googleカレンダーを利用したスパム

誰かがGoogleカレンダーを使ってあなたとのミーティングを設定すると、あなた宛にミーティング通知が届きます。最近、これを利用したスパムが大量に配信されていました。

Googleカレンダーは、誰でも任意の人をミーティングに招待できるように設計されています。そのため、Googleカレンダーも、ミーティング通知を受け取るGmailも、どこの誰があなたとミーティングを設定したのか気にしません。

スパマーは、招待メールの[場所]フィールドや[タイトル]フィールドを使って用件を知らせてきます。よく見られるのは、何らかの理由であなたには現金を受け取る権利がある、と伝える短い文章と、その現金を受け取るためのリンクが記載されたパターンです。

そこから先は、お決まりのコースです。リンクをクリックすると(表向きはあなたに送金するために)カード情報を入力させようとするフィッシングサイトに誘導されるか、送金前に何らかの手数料が必要だとして支払いを求められます(そしてもちろん、あなたの手元には一銭も届きません)。

このほかに、Googleカレンダーを使って偽の報酬付きアンケートを用意するパターンもあります。この「抜け穴」を使って、違う種類のスパムやフィッシングメールを送ったり、マルウェアを送ったりする可能性も否定できません。

Googleフォトを利用したスパム

Googleフォトを使い、写真をシェアする形をとるスパムもあります。メールを受け取った側からすると、「○○さんがあなたと写真を共有しました」という件名の当たり障りのないメールがGoogleフォトから届いたように見えます。写真に関するコメントには、「大金が手に入るチャンス。このメールアドレスに返信するだけ」とあります。

共有されたのは架空の小切手の写真です。一定額の手数料を支払えばもっと大きな金額が手に入る、との説明書きが付いています。しかし、手数料を支払った後、メールの主とは連絡が取れなくなります。

Googleフォトの通知メールは、メール本文に画像と文章を入れることができるうえ、当たり障りのない件名なのでほぼ確実にメールを開いてもらえます。サイバー犯罪者にとっては、うってつけです。

Googleフォームを利用したスパム

詐欺師たちは、フォームやアンケートを作成するための多用途ツールであるGoogleフォームを積極的に活用して、個人データを収集したり、頼んでもいない商用サービスの提案を送りつけてきたりします。

説得力のある見た目のデータ収集フォームを作れるとあって、Googleフォームは詐欺師たちの新たなお気に入りとなりました。個人情報やカード情報などを進んでフォームに入力してもらえるのですから。

Googleドライブ、Google ストレージを利用したスパム

スパムとフィッシングに関する当社の四半期レポートでは、サイバー犯罪者が違法コンテンツの隠し場所として以前からクラウドストレージを使っていることが、繰り返し取り上げられてきました。たとえスパムフィルターであっても、ランダムな文字や記号で構成されるリンクを基準にメールが不正であるかどうかを判断するのは、至難の業です。

この方法で、事実上どのようなものでも配信できます。マルウェアでも、データ収集フォームを備えたフィッシングページでも、煩わしい広告でも。たいていの場合、こういったリンクはクラウドにあるファイル(テキストファイル、スプレッドシート、プレゼンテーション)を指しており、ファイル内にはさらに詳しい説明や「最終的な購入ページ」への新たなリンクがあります。

Googleストレージも、スパム用リソースの置き場所として使われます。たとえば、偽のランディングページにリダイレクトするリンクや、スパムメールで使用する各種イメージなどです。

Googleアナリティクスを利用したスパム

このようなスパムは、ここまで見てきた以外の主要なGoogleサービスにも広がっています。たとえばGoogleハングアウトもそうですし、中にはGoogle広告やGoogleアナリティクスからの通知を利用したものもあります。ここでは、Googleアナリティクスを利用したスパムの例を見てみましょう。これは、知らないWebサイトへの流入データをまとめたPDF形式のレポートが添付されたメールです。

Googleアナリティクスの場合、このようなファイルを送る際にテキストやリンクを添えることができます。サイバー犯罪者はこれを悪用します。GoogleアナリティクスやGoogle広告はWebサイトを運営する人々が積極的に活用しているので、これらを業務で使用している人々を標的にできるという側面があります。

よく使われるサービスを利用したスパム — Googleだけの問題ではない

スパマーが好んで利用するのは、Googleのサービスだけではありません。Facebook、Twitter、Instagramなど広く使われているSNSをはじめ、誰でも見られてコメントを書き込める公開サービスには、詐欺のメッセージやコメントが大量に現れます。

問題はそれだけではありません。多くのサービスは、スマートフォンとリンクしています。つまり、通知はメールで届くだけでなく、利用者のスマートフォンの画面にもポップアップ表示されるのです。あちこちに現れる通知に利用者の注意力が低下し、よく見ないまま偽のリンクをタップしたりクリックしたりしてしまう可能性が高くなります。

やっかいなことに、正規のサービスを通じて送られたメールには標準的なヘッダーが使われるため、スパムフィルターはしばしば無害なメールと判断してしまいます。また、スパムメールの件名はバラエティに富んでいるので、スパムフィルターに高いレベルの基準値を設定しなければならず、そのために過度な誤検知が生じる可能性があります。スパマーはこの問題を逆手にとって、自分たちの目的のためにこうしたサービスを悪用しているのです。

Googleなどの大衆サービス経由で配信されるスパムに対抗するには

残念ながら、このようなスパムへの決定的な対策はありません。対策に必要な設定はサービスによって異なり、そうした設定のために利便性が低下することがほとんどです。

たとえば、Googleカレンダーでは、イベントの自動追加機能を無効にし、利用者が招待を承諾するまでイベントがカレンダーに追加されないようにすることができますが、そうすると本当に自分が興味のあるイベントにも影響します。ただ、最も押しが強いのはGoogle カレンダーを通じたスパムであると考えられるので、無効化は理にかなった対策だと言えるでしょう。

当然ながらGoogleも、スパムに対抗するため、そして詐欺師を寄せ付けないために、さまざまな対策を講じています。しかし、Googleが自ら述べたように、スパムとの戦いに終わりがないのも確かです。Googleのサービスを経由した現在のスパム攻撃に決着がついたとしても、サイバー犯罪者は別の抜け穴を見つける、そういうものなのです。

最も重要なのは、注意を怠らないことです。

  • 知らない人が送ってきたメールは開かない。
  • 知らない人からの招待を承諾しない。
  • 受け取る覚えのないメールに記載されたリンクをタップまたはクリックしない。
  • スパム対策機能を搭載した信頼できるセキュリティ製品をインストールする。Googleのフィルターをくぐり抜けてくるスパムの、少なくとも一部を退けることができます。