Abnormal Securityは12月13日(米国時間)、「BazarCall Attack: Using Google Forms With Call-Back…|Abnormal」において、Googleフォームが高度なフィッシング攻撃に悪用されているとして、注意を喚起した。高度なフィッシング攻撃の一つに、「BazarCall(別名:BazaCall)」と呼ばれるフィッシング攻撃がある。この攻撃には、被害者を誘導して攻撃者と対話(電話)させるという特徴があるが、今回確認された攻撃では、このBazarCall攻撃においてGoogleフォームが悪用されたとみられる。

  • BazarCall Attack: Using Google Forms With Call-Back…|Abnormal

    BazarCall Attack: Using Google Forms With Call-Back…|Abnormal

今回発見されたフィッシング攻撃の手口

従来のBazarCall攻撃ではフィッシングメールにより標的から攻撃者に折り返し電話させる手法が取られていた。今回発見された攻撃では、フィッシングメールの代わりにGoogleフォームが悪用されている。具体的な攻撃手順は次のとおり。

  1. 攻撃者はGoogleフォームを新規に作成し、架空の請求書と取引の詳細、連絡先として攻撃者の電話番号を記載する
  2. Googleフォームの設定で、「メールアドレスを収集する」を「回答者からの入力」とし、「回答のコピーを回答者に送信」を「常に表示」にする。この設定によりフォームにメールアドレスの入力欄が追加される
  3. 攻撃者は作成したフォームの招待状を自分自身に送信する
  4. 攻撃者は送られてきたフォームの招待状からGoogleフォームを開く。メールアドレスの入力欄に標的のメールアドレスを入力して送信する
  5. 設定の「回答のコピーを回答者に送信」を「常に表示」に設定したため、入力した標的のメールアドレスに回答のコピーが送信される
  • 脅威アクタによって実際に送信されたメールの例 - 提供:Abnormal Security

    脅威アクタによって実際に送信されたメールの例 引用:Abnormal Security

今回発見されたフィッシング攻撃がセキュリティソリューションを回避できる理由

この方法により、攻撃者は「フォームの回答のコピー」という形でフィッシングメールを標的に送信することができる。攻撃者がこのような回りくどい方法を採用した理由は、セキュリティソリューションの検出を回避するためとみられている。

このフィッシングメールはGoogleから送信され、送信者のアドレスもGoogleとなる。また、メールの内容にも不審なリンクやボタンが存在しない。このため、従来のセキュリティソリューションでは攻撃を検出することは困難とされ、メールが標的に配送される可能性は高くなる。

また、Googleフォームは動的に生成されたURLを使用することがよくあるため、既知のパターンと照合する静的検出やシグネチャによる検出も回避される可能性が高くなる。

今回発見されたフィッシング攻撃を検出する方法

このような攻撃を検出するにはメールの内容や、送信者と内容の一貫性などから正否を判断する必要がある。このため、Abnormal Securityはこの攻撃を検出する方法として、高度な人工知能(AI: Artificial Intelligence)を使用したセキュリティソリューションの導入を推奨している。

AIを用いたセキュリティソリューションではメールの内容の分析により、なりすましやフィッシングを検出することが可能といわれている。攻撃者は常に進化を続けており、従来の防御策では防ぐことが難しくなりつつある。企業や組織のセキュリティ担当者には、最新の攻撃手法に関する情報を収集し、適切なソリューションの導入や対策が望まれている。