Google カレンダーをC2サーバに悪用する手法を確認 Google Cloudがレポート公開：セキュリティニュースアラート

Google Cloudは2023年第3四半期のクラウドセキュリティレポートを公開した。サイバー攻撃者が近年使用するクラウド侵害の手法がまとまっている。

[後藤大地，有限会社オングス]

　Google Cloudは2023年11月6日（現地時間）、2023年第3四半期版のクラウドエンタープライズユーザーに対する脅威情報をまとめたレポートを公開した。

　同レポートでは、サイバー攻撃者によって「Google カレンダー」がコマンド＆コントロールサーバ（C2サーバ）として悪用される危険性があることなどが報告されている。

Googleは、2023年第3四半期版のクラウドエンタープライズユーザーに対する脅威情報をまとめたレポートを公開した（出典：Google Cloudが公開したレポート）

Google カレンダーを悪用してC2サーバをホストする手法を確認

　Google Cloudが公開したレポートはクラウド領域のセキュリティについて調査したもので、クラウドエンタープライズユーザーを狙う脅威に対する戦略的インテリジェンスを提供することを目的としている。

　報告書によれば、2023年第2四半期におけるクラウドの侵害方法は、それまでの過去の四半期と大きく変わることなく過去12カ月の報告と一致している。脆弱（ぜいじゃく）な資格情報が最大の侵害を示しており、サイバー攻撃者がデフォルトアカウントやSSH、RDPを総当り攻撃（ブルートフォース攻撃：Brute-force attack）で狙う事例が多数観測されている。

　レポートでは、SaaSに格納されたデータを標的とするためにサイバー攻撃者が戦術を適用させていく様子が観測されたことも伝えられている。Google Cloudは「SaaS利用が増加するにつれてデータの分散化が進み、サイバー攻撃者にとっての攻撃対象領域（アタックサーフェス）が増えるという状況を生んでいる」と指摘している。

　その他、報告書から、Google カレンダーを利用してC2サーバをホストするPoC（概念実証）エクスプロイトがサイバー攻撃者間で共有されていることも明らかになっている。この手法は実際に使われてはいないが、クラウドサービスといった正規のインフラを利用してセキュリティソフトウェアの検出を欺く狙いがあるとみられる。

　また、ドメイン情報を参照できるサービス「WHOIS」や「Google Cloud Storage」「Amazon S3」「Azure Blob」などのクラウドストレージプラットフォームを狙ったサイバースクワッティングの増加についても取り上げられている。サイバースクワッティングは商標権を侵害してドメイン名を登録する行為だ。

　同攻撃は10年間で大幅に増加しており、サイバースクワッティングの一形態で、ユーザーのタイプミスを狙ってフィッシングサイトに誘導したり、情報窃取したりするサイバー攻撃手法「タイポスクワッティング」が流行している。