新手のフィッシング攻撃、Google Workspace認証情報を狙う
「Calendly」を模倣した巧妙なフィッシング攻撃が横行しており、Google WorkspaceおよびFacebook Businessアカウントの認証情報が窃取される危険性が高まっています。特に、広告代理店や大手ブランドが使用する広告管理プラットフォームが主な標的とされています。
セキュリティ企業Push Securityの調査により、この攻撃は「Attacker-in-the-Middle (AiTM)」と「Browser-in-the-Browser (BITB)」技術を組み合わせることで、検出を回避し、盗んだアクセス情報の価値を最大化するよう設計されていることが明らかになりました。
巧妙化する攻撃の手口
攻撃の初期段階では、被害者はLVMHの採用部門を装った「Inside LVMH」からの求人メールを受け取ります。このメールは非常に精巧に作成されており、被害者の具体的な情報に合わせてカスタマイズされているため、正規のメールと見分けがつきにくいのが特徴です。
数回のやり取りの後、会議の予約を促す「Calendly」風のリンクが送付されます。この多段階のアプローチは、リンクのスキャンや緊急の行動を促す文言に特化したメールセキュリティツールをすり抜けることを目的としています。
リンクをクリックすると、被害者は偽のCalendlyランディングページに誘導され、CAPTCHAの入力を求められた後、「Googleで続行」オプションが表示されます。その後、AiTMフィッシングページにリダイレクトされ、実際のGoogleログインプロセスをプロキシしながら、Calendlyブランドが表示されます。このページは、対象組織のメールアドレスのみを許可するように設計されており、他のドメインからのログイン試行はブロックされます。これにより、セキュリティアナリストによる分析が困難になっています。
広がる被害と標的
Push Securityは、LVMH、Lego、Mastercard、Uberなど、多数の主要ブランドの採用担当者や人事担当者を装った同様のCalendlyテーマのページを多数確認しています。
- 過去2年以上前から存在する、Facebook Businessアカウントを標的とした別の攻撃も確認されており、少なくとも31のユニークなURLが異なる企業を装って再利用されています。
- GoogleとFacebookの両アカウントを標的とし、BITBポップアップを生成する新しいバリアントも出現しています。このBITB技術は、偽のURLバーをポップアップ内に表示させることで、ユーザーが正規のログインプロンプトと悪意のあるオーバーレイを見分ける能力をさらに低下させます。
広告管理アカウントが狙われる背景
脅威の状況が変化する中、ビジネスの広告管理アカウントが戦略的に狙われるようになっています。Google AdsやFacebook Businessアカウントが侵害されると、広範囲にわたるAiTMフィッシング、マルウェア、高度な「ClickFix」詐欺を配布するマルバタイジングキャンペーンに悪用される可能性があります。
攻撃者は、Google Workspaceを介したアイデンティティベースの初期アクセスから始まり、広告インフラストラクチャへと侵入することで、盗んだアクセス情報を直接収益化したり、悪意のある広告購入を通じて、あるいは他の犯罪グループに足場を売却する形で間接的に運用したりする態勢を整えていると考えられます。
まとめと対策
このCalendlyを模倣したフィッシングキャンペーンは、AiTMおよびBITBといった高度な技術を駆使し、企業とそのデジタル資産に深刻な脅威をもたらしています。ユーザーは不審なメールやリンクには細心の注意を払い、多要素認証(MFA)を有効にするなど、基本的なセキュリティ対策を徹底することが重要です。
また、企業はメールセキュリティソリューションの見直し、従業員へのセキュリティ教育の強化、および広告プラットフォームの監視体制を確立することが求められます。