毎日、膨大な数のフィッシングメールが飛び交っていますが、最近 Google Docs や Google ドライブを使うユーザーを標的とした詐欺メールは、その巧妙さが際立っていました。
この詐欺メールでは「Documents」という至ってシンプルな件名が使われており、そこに記載されているリンクをクリックして Google Docs にある重要な文書を確認するように促します。
リンク先が Google Docs でないことは言うまでもありません。確かに Google のサイトには移動しますが、そこで実際に表示されるのは Google Docs のログインページに偽装したページです。
図. Google Docs に偽装したフィッシング用ログインページ
偽のページは、実際に Google のサーバー上でホストされており、SSL を介して提供されているため、さらに本物らしく見えます。詐欺師は単に、Google ドライブアカウントの中にフォルダを作成し、公開設定をしてファイルをアップロードしているにすぎません。そのうえで、Google ドライブのプレビュー機能を使って共有アクセス可能な URL を取得し、それをメッセージに掲載しているのです。
このログインページは、Google の各種サービスで共通して使われているので、多くの Google ユーザーにとって見慣れたものでしょう(「One account. All of Google.(アカウント 1 つですべての Google サービスを。)」の下のテキストには、今アクセスしているサービスが示されますが、ほんのわずかの違いなので、ほとんどの人は気付きません)。
Google Docs のリンクにアクセスしたときに、このようなログインページが表示されるのはごく当たり前なので、深く考えずにログイン情報を入力してしまう人は多いかもしれません。
[Sign in]をクリックすると、ユーザーのログイン情報が、危殆化した Web サーバー上の PHP スクリプトに送信されます。
このページから今度は本当の Google Docs 文書にリダイレクトされるので、攻撃の全体がかなりの説得力を持っています。Google アカウントはフィッシング詐欺師にとって価値のある標的です。Gmail や Google Play など多くのサービスへのアクセスに使われるため、これを利用すれば Android アプリやコンテンツも購入できるからです。
シマンテック製品をお使いのお客様はこの脅威から保護されています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。