Googleの「AppSheet」を悪用した新手のフィッシング攻撃に注意 初回メールに不正リンクがない事例も：セキュリティニュースアラート

KasperskyはGoogleのAppSheetを悪用したフィッシング詐欺を確認したと公表した。攻撃者は正規のGoogle関連アドレスを使い、求人通知や認証案内を装って個人情報や認証情報を盗み取る手口を展開していると説明した。

[ITmedia エンタープライズ編集部，ITmedia]

　Kasperskyは2026年5月27日（現地時間）、Googleのアプリ作成サービス「AppSheet」を悪用したフィッシング攻撃が拡大していると公表した。攻撃者はGoogle関連の正規メールアドレスを利用し、利用者の個人情報やアカウント認証情報を盗み取っているという。

AppSheetの利便性を悪用したフィッシング構築の手口

　AppSheetは、専門知識がなくても業務用アプリを作成できるGoogleのサービスで、中小企業などで業務自動化用途に利用されている。攻撃者はこの仕組みを利用し、フィッシング用システムを構築している。

　確認された攻撃では最初に、大手企業名を表示したメールが送信される。メール冒頭では受信者名が記載される例もあり、漏えい済み情報を組み合わせて利用者ごとに送信先を選別している可能性がある。内容は、アカウント停止警告や不審アクセス通知など不安をあおるものの他、大手IT企業からの面接案内や認証バッジ付与通知など利益を示すものもある。利用者に即時対応を促し、リンクのクリックへ誘導する構成となっている。

　メールは迷惑メール判定を回避する場合が多い。表示名には実在企業名が使われ、送信元には「noreply@appsheet.com」が利用される。このアドレス自体はGoogleの基盤に属する正規のものであり、一般的な迷惑メール対策を通過しやすいとKasperskyは指摘した。

　利用者がリンクを開くと、偽サイトへ移動し、氏名や住所、電話番号などの入力を求められる。その後、偽ログイン画面で認証情報を入力させ、アカウントを奪取する流れとなる。

　Apple利用者を狙う事例では「企業アカウント確認」を名目に攻撃者側のApple IDへ切り替えさせる手法も確認された。利用者がログインすると、攻撃者が端末制御権限を取得し、「紛失モード」を用いて端末をロックするケースもあるという。

　初回メールに不正リンクを記載せず、返信を求める手法もある。採用担当者との会話を装い、信頼感を形成した後に偽サイトへ誘導する。標的企業としてはGoogleやApple、Metaの他、VolvoやCoca-Colaなど著名企業名も使われている。

　Meta関連の事例においては「Meta Verified」の認証対象に選ばれたと通知し、認証手続き名目でFacebookの認証情報を入力させるケースが確認された。著作権侵害を理由にFacebookアカウント停止を警告する例もあり、異議申し立てページとして偽サイトへ誘導していた。

　Kasperskyは対策として、送信元アドレスと表示名の不一致の確認、URLの正規ドメインの確認、メール本文内の不自然な空白や文字置換の確認を推奨した。AppSheet経由のメールには注記が付く点にも注意が必要としている。パスワードマネージャの利用や2要素認証（2FA）の導入、パスキー活用も有効策として挙げた。パスキーは偽サイト上では機能しないため、フィッシング対策に有効としている。