Google SitesやGoogle OAuthを悪用 巧妙な新型フィッシング攻撃を解説：セキュリティニュースアラート

Googleの旧サービスなどを悪用した巧妙なフィッシング攻撃が見つかった。正規の電子メールやOAuthを利用し、偽ページへの誘導や情報の詐取を可能にする新たな攻撃手法を注意喚起している。

[後藤大地，有限会社オングス]

　仮想通貨「Ethereum」（イーサリアム）の取引で使われるアドレスを任意の文字列に変更できるサービス「イーサリアムネームサービス」（ENS）の主任開発者であるニック・ジョンソン氏は2025年4月16日（現地時間）、自身が極めて巧妙なフィッシング攻撃の標的となったことを「X」（旧「Twitter」）で明らかにした。

　この攻撃はGoogleのインフラに存在する脆弱（ぜいじゃく）性を悪用しており、今後も同様の攻撃が拡大する可能性があると警鐘を鳴らしている。

Google SitesやGoogle OAuthを悪用する巧妙な手口を解説

　ジョンソン氏によると、攻撃に使われた電子メールは「no-reply@google.com」から送信した有効な署名付きメールであり、DKIM署名の検証も正常に通過していた。そのためか「Gmail」はこれを正規のセキュリティ通知として認識し、他の通知と同じスレッドに自動的に分類していたという。

　電子メールに含まれていたリンクは「support portal」と称し、Googleのサービス「sites.google.com」上に作成した偽のサポートページに誘導するものだった。このページには「Upload additional documents」「View case」といったリンクが用意されており、それらをクリックするとGoogleのログインページを模倣したWebサイトに遷移する。見た目は本物と似ているが、実際には「accounts.google.com」ではなく「sites.google.com」でホストされている点が唯一の識別手掛かりだったとしている。

　偽ポータルの構築には、Googleがかつて提供していたレガシーサービス「Google Sites」が利用されていた。このサービスでは、ユーザーが任意のスクリプトや埋め込み要素を含むコンテンツを「google.com」サブドメイン上に公開できる仕組みが存在する。また、通報機能が用意されておらず、悪用されても迅速な対応が困難であることも問題点として挙げている。

　攻撃のもう一つの要となったのが、Googleから送信される正規のセキュリティ通知を利用した手法だ。攻撃者は「me@任意のドメイン」という形式の「Google アカウント」を作成し、そのアカウントに対してフレームワーク「Google OAuth」を通じてアクセス許可を設定する。アプリの名称には、フィッシングメッセージ全文と空白、さらに「Google Legal Support」という文言を含めていた。

　この設定を悪用して攻撃者はGoogleが自動送信するOAuth関連の「セキュリティ警告」メールを自分のアカウントで受け取り、それを標的に転送することで正規の通知メールのように偽装した。さらに「me@」形式のアカウント名を使用することで、Gmailが表示上「me」とだけ記載する仕様を逆手に取り、受信者自身に届いた通知のように見せることが可能になっていた。

　ジョンソン氏はこの問題をGoogleに報告したが、当初Googleは「仕様通りの動作（Working as Intended）」として対処を拒否した。しかし最終的にGoogleは見解を改め、OAuthに関する脆弱性の修正に取り組むことを決定した。

　今回の件はGoogleが過去のセキュリティ基準以前に開発した旧サービスの取り扱いや電子メール認証技術がいかに悪用され得るかを示す事例といえる。不審なメールに含まれるリンクのドメインを細かく確認する、二要素認証（2FA）を有効にする、正規のURLかどうかを再確認するなど日常的なセキュリティ対策を徹底することが重要であり、今回のように正規の署名を付与したメールであっても無条件に信用せず、一歩引いた視点で確認する姿勢が求められる。