記事本文(要約)
サイバーセキュリティ研究者は、FirebaseとGoogle Apps Scriptという正当なサービスを悪用したフィッシングキャンペーンを報告しています。5月中旬、TrellixはRothschild & Coの社員を装って、アフリカ、カナダ、ヨーロッパ、中東、南アジアの金融業界幹部を標的とするスピアフィッシングを確認しました。メールには、Firebase上の偽のパンフレットが含まれ、暗号で保護されたウェブページを経由してVBSスクリプトを含むZIPファイルを提供し、NetBirdとOpenSSHをインストールし、遠隔操作を可能にするものでした。
一方、CofenseはGoogle Apps Scriptを悪用し、障害者用健康機器プロバイダーの正当なドメインを偽装し、緊急性を煽るメールで受信者をGoogle Apps Script内の偽の請求書ページに誘導するキャンペーンを報告しました。受信者は信頼できるGoogle環境内にあるため、偽のMicrosoftログインページに誘導されやすくなっています。
これらのキャンペーンは、ESETによるDocusignを装ったフィッシング攻撃の警告の直後に明らかになりました。受信者は偽のDocusignドキュメントを確認するよう求められ、偽のMicrosoftログインページに誘導されます。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 30 May 2025 14:56:09 +0000
Original URL: https://www.securityweek.com/firebase-google-apps-script-abused-in-fresh-phishing-campaigns/
詳細な技術情報
この文章は、FirebaseとGoogle Apps Scriptという正規のサービスを悪用したフィッシングキャンペーンに関する詳細を示しています。以下に、セキュリティ上の詳細情報を日本語で説明します。
CVE番号
この情報には特定のCVE番号が提示されていませんが、Googleサービスが悪用される手法は度々報告されており、関連するCVEが存在する可能性はあります。
脆弱性の仕組み
- Firebaseの悪用: 攻撃者はFirebaseを利用して不正なウェブページをホスティングしています。このページは、見せかけのカプチャクイズを解いた後、悪意のあるZIPファイルをユーザーに提供します。
- Google Apps Scriptの悪用: 正当なドメインを装い、Googleの信頼性の高いプラットフォームを利用してフィッシングページをホストすることで、ユーザーに信頼感を与えています。
攻撃手法
- 標的型フィッシング(スピアフィッシング): 金融業界の幹部を狙い、不正な添付ファイルを含むメールを送りつけます。
- フィッシングページのホスティング: Googleのプラットフォームを利用して、信頼できる環境のように見せかけます。さらに、偽のログインウィンドウを表示して、ユーザーの情報を詐取します。
潜在的な影響
- リモートアクセスの取得: 攻撃者はNetBirdやOpenSSHをインストールして、被害者のデバイスにリモートでアクセス可能にします。これにより、被害者のシステムに対する完全な制御が可能になり得ます。
- 機密情報の漏洩: ユーザーが偽のログインページで情報を入力すると、資格情報が盗まれる可能性があります。
推奨される対策
- メールフィルタリングの強化: 不審なメールをフィルタリングし、スピアフィッシング攻撃に対抗する。
- 教育とトレーニング: 従業員に対してフィッシング攻撃の識別方法についてのトレーニングを行う。
- MFAの導入: 多要素認証を導入し、資格情報が漏洩した際のリスクを軽減する。
- リモートアクセスの監視: 不正なリモートアクセスの試行を検出するための監視を行う。
- サンドボックスの利用: ダウンロードされたファイルを開く前にサンドボックスで実行し、動作を確認する。
