Google Docs を騙ったフィッシングメール/ワームの問題 – 経緯と対策

2017.05.19

昨日の記事では、悪意のあるサードパーティ Gmail アプリをユーザーに承認させて、メールアカウントと連絡先リストを乗っ取ることを狙った「Google Docs」のフィッシング攻撃を説明しました。


このフィッシング攻撃の目的の 1 つは、標的ユーザーの友人や同僚に同様のフィッシングメールを送りつけて偽アプリを許可させ、さらに次々とフィッシングメールを送信することだと考えられます。


厳密には、これは単なる「フィッシングメール」ではありません。ここで言うフィッシングメールとは、ユーザーを騙したり強要したりして、認証操作を実行させたり、個人情報を提供させたりすることを目的としたメールを意味します。


典型的な従来型のフィッシングメールは、「不正利用があったために金銭的損失が発生した」あるいは「税金の還付金がある」ので、リンクをクリックして銀行口座にログインするよう求めてきます。しかし最近では、フィッシングという言葉は広義になり、ユーザーに何かを許可させたり、本来秘密にしておくべき情報を提供させたりすることなども表すようになりました。今や多くのユーザーが、電子メール内のログインリンクはクリックすべきではないことを知っています。そのため、詐欺師たちは攻撃方法やユーザーを誘う文言の種類を増やす必要がありました。


今週発生した「Google Docs」攻撃は、必要な許可をユーザーが付与さえすれば自動的に拡散する可能性があります。これは、2000 年の Love Bug ウイルスや、2002 年の FriendGreetings アドウェアによく似ています


つまり、今回の「Google Docs」攻撃とは、既存のホストファイルを利用しなくても独自に拡散が可能な特殊なウイルス (具体的にはワーム) ということになります。


このようなウイルスらしいウイルスは最近あまり見かけません。


その第一の理由として、攻撃者は配布するマルウェアの量を調節しながら、目標の感染レベルに達するまでユーザー 1 人 1 人に悪意のある添付ファイルや Web リンクを送信できるようになったため、自己拡散機能が不要になったことが挙げられます。


第二に、ウイルスは多くの場合、マルウェアとして検出されやすいからです。なぜなら、ウイルスは一般的に、非複製型トロイの木馬などと同種のセキュリティアラームを作動させるためです。


攻撃の仕組み


まず、ユーザーは次のような電子メールを受け取ります。



(実際は送信者の知らないうちに送信されたものですが、) 連絡先リスト経由で本人のアカウントから送信されたものであるため、メールの名前に見覚えがあります。


ユーザーが [Open in Docs (Docs で開く)] リンクをクリックしても、アクセス先は Google Docs ではありません。


代わりに表示されるのは、Gmail アプリのインストールとメールおよび連絡先リストへのアクセス許可を要求する Webページです。



ユーザーはこの時点で不審に思うはずです。Google Docs はブラウザで問題なく開くので、Google Docs を使用するために別のアプリなど本来必要ありません。


(Gmail アプリは Facebook や Twitter アプリに似ており、アプリにアカウントへのアクセス権を与えることで、追加機能を使用できるようになります。その代表例の 1 つが、Twitter 用の Hootsuite です。)


ユーザーが [Allow (許可)] をクリックしてアプリを許可してしまう理由は、次の 2 つです。


  • 知人からのメールであること


  • アプリが Google Docs を装っていること


しかし、実際の問題はずっと深刻です。どういうわけか、Google は攻撃者が「Google Docs」と呼ばれる Gmail アプリを登録することを許可してしまいました。しかし、このアプリは Google ともドキュメントとも全く関係がありません。


明らかに Google ブランドを悪用しようとしているアプリが Google のセキュリティ検証プロセスを合格してしまったことに驚かされます。


[Allow (許可)] をクリックした場合、連絡先に不正な電子メールが送信されるなど、ユーザーのアカウントがあらゆる方法で悪用される可能性があります。


当然ながら、ユーザーの連絡先や電子メールにアクセスできる Gmail アプリであれば、他のユーザーとのやり取りを盗聴してデータを盗んだり、連絡先リストを操作したり、自分の存在をユーザーに知らせる可能性のある受信メッセージを削除したりするなど、さらに悪質な操作も可能です。


今やるべきこと


偽の「Google Docs」アプリに対して [Allow (許可)] をクリックしていなければ、問題はありません。


ただし、Google アカウントを確認して、どのアプリに何の権限を付与しているのかを確認することをお勧めします。


この不正アプリに何も許可していない場合であっても、他のアプリにさまざまな権限を与えている可能性があります。


Google アカウントに接続しているアプリをチェックするには、ログイン後に https://myaccount.google.com/permissions にアクセスします。



Google アカウントを操作する許可が与えられているアプリのリストが表示されるので、よく分からないアプリや不要になったアプリを削除してください


この偽アプリを [Allow (許可)] した場合、最初に受信したのと同じスパムメールが友人や同僚に送信されている可能性があります。


この攻撃に関するフォローアップメールを受け取った場合には、リンクのクリックや設定の変更などの要求に応じないでください。一連の騒動に対するユーザーの懸念につけ込もうとする攻撃者からのメールである可能性があります。


今後について


この攻撃で厄介なのは、Google Docs が標的ではないため、Google Docs のユーザーでなくても影響を受ける点です。


攻撃者の標的は、セキュリティ審査を通過しなければ入ることが許されない Google の「Walled Garden (壁に囲まれた庭)」の生態系全体です。


だからこそ、Google が「Google Docs」というサードパーティーアプリの登録を許可したことは驚きです。これは、詐欺師が不正なアプリを登録できたことだけでなく、詐欺師に Google ブランドの使用を許可したことを意味します。


Google アカウントのユーザーは (Gmail しか使用していなかったとしても)、Google 自身による調査の結果をお待ちになることをお勧めします。


今後この種の不正利用が行われるリスクを軽減するために、Google がどのようなチェック機能を追加するのかを把握したうえで、Google をどの程度信頼するのかを判断してください。


とはいえ、今後のアプリの安全性について Google だけに依存するのは危険です。


Google がそのアプリを明示的に推薦しているかどうかに関係なく、自分の Google アカウントへのアクセス (このケースではメールの送信と読み取り、および連絡先へのアクセス) をサードパーティアプリに許可することは、大きな決断です。


許可することで、アプリに非常に大きな権限を与えることになります。たとえるなら、他人に携帯電話を貸したり、クレジットカード口座に関して委任状を与えるようなものです。


たとえ Google ブランドの一部のように見えても、あるいは便利なように思えても、安易に新しいアプリを許可するべきではありません。


たった 1 通の電子メールが許可するように求めてきたからといって、このような重要な決断を下していけません。


時間をかけて考え、信頼できる人の意見を聞いてください。大切な自分のアカウントです。疑わしい場合は、許可しないでください。



関連記事: 自称大学院生が「Google Docs」メールの送信者は自分だと主張 ►

引用元

おすすめの記事はこちら