トレンドマイクロの公式 Blog によると、Google ドライブを利用した標的型攻撃があるそうだ。

Google ドライブの Web サイトや知名度を利用して、監視の目を逃れ、検出を回避、情報を窃取するのだが、今回の攻撃では、正規の Google ドライブのログインページに手を加え、メールの個人情報を収集するために利用した。これは、2014年5月に実行された、複数のメールアドレスを狙った攻撃の改良版だと考えられている。


ユーザーが受け取るメールには、Google ドライブの偽サイトに誘導するリンクが記載されている。

Google ドライブの偽サイトに注意!!、巧妙化するフィッシング詐欺
Google ドライブの偽サイトへのリンク

この偽サイトでは、Google のメールアカウントでしかログインできない正規の Google ドライブとは異なり、ユーザーはさまざまなサービスプロバイダのメールアドレスでログインできる。また、この Web サイトでは言語を選択できるが、実際には機能しない。

Google ドライブの偽サイト
Google ドライブの偽サイト

さらに、この偽サイトは、正規の Web サイトにある投資に関する PDF ファイルにユーザーを誘導する。

トレンドマイクロでこのソースコードを解析したところ、Chrome の「save」タグが確認できたそうだ。つまりこれは、この偽サイトの作成者が、正規の Google ドライブのログインページのソースコードを保存し、不正なコードを追加した可能性を意味する。

この Web サイトは Google ドライブのソースコードを使い回しているため、ソースコードを確認する検査ツールはすべて正常に動作する。また、この偽サイトは、適切な形式のメールアドレスのみを受け入れる。(例:<アカウント名>@<サービスプロバイダ>.com)。意味をなさない文字でもすべて受け入れていた、以前のフィッシングページとは大きく異なる点だ。

トレンドマイクロの解析によると、今回の攻撃はモバイル端末にも影響を与えるそうだ。ユーザーが「サインイン」をクリックすると、PDF ファイルがダウンロードされ、ユーザーの個人情報がサイバー犯罪者に送られる。