概要:Google Tasksを悪用した新たな脅威
2025年12月、主に製造業の3,000以上の組織が、Googleのアプリケーションインフラストラクチャを悪用した巧妙なフィッシングキャンペーンの被害に遭いました。この攻撃は、企業のメールセキュリティ制御を回避するように設計されており、脅威アクターが信頼されたプラットフォームを悪用する新たな手口を示しています。
従来のフィッシング詐欺とは異なり、このキャンペーンは正規のGoogleシステム内で完結しており、noreply@google.comからのメッセージを送信することで、SPF、DKIM、DMARC、CompAuthといったすべての標準的な認証チェックを通過しました。これにより、従来のメールセキュリティツールでは盲点となっていました。
攻撃の手口:信頼されたインフラストラクチャの悪用
このフィッシングメールは、正規のGoogle Tasks通知を装い、従業員による確認を求める内部タスクの割り当てであるかのように見せかけました。受信者には、「View task(タスクを表示)」や「Mark complete(完了とマーク)」といったアクションが促され、これらをクリックするとGoogle Cloud Storage上にホストされた悪意のあるページにリダイレクトされました。
この攻撃は、従来のセキュリティモデルにおける以下の3つの重大な脆弱性を悪用しています。
- 信頼された送信元インフラストラクチャ:メールは正規のGoogleシステムから発信されたため、Googleの高い送信者評価と、ほぼすべての組織における普遍的な許可リスト(allowlisting)を継承していました。
- 高い忠実度でのブランドなりすまし:メッセージは、Google TasksのUI、ブランド、およびおなじみの通知ボタンを驚くほど正確に再現しており、正規の通信と視覚的に区別がつきませんでした。
- 信頼されたドメイン上のペイロード:攻撃者は、悪意のあるコンテンツを疑わしいドメインにホストするのではなく、Google Cloud StorageのURLを悪用しました。これにより、URLのレピュテーションに基づく検出が無効化されました。
従来のセキュリティ対策の限界と今後の対策
ほとんどのメールセキュリティプラットフォームは、送信者のレピュテーション、ドメインの信頼、および認証検証に依存しています。これら3つの要素すべてが正当であったため、メールは検出をすり抜けました。人事検証にGoogle Tasksが悪用されるという文脈の不一致や、正規のワークフローがCloud Storageへのリダイレクトを引き起こすといった挙動は、従来のツールでは検知できませんでした。
セキュリティ研究機関のRavenMailは、送信者の資格情報のみに依存するのではなく、意図とワークフローの文脈を分析することでこのキャンペーンを検出しました。このキャンペーンは、攻撃者がAppSheet、Google Forms、Application IntegrationといったGoogle自身のクラウドサービスをフィッシングの配信メカニズムとして悪用する新たなパターンを反映しています。
この脅威はGoogleに限定されず、メール送信機能を備えた信頼できるSaaSプラットフォームはすべて潜在的な攻撃ベクトルとなります。組織は、信頼に基づくメールセキュリティモデルから、ワークフローの正当性と文脈的適合性を分析する意図中心の検出システムへと進化する必要があります。