こんにちは。CSIRTで日々サイバー攻撃の分析に携わっているフォレンジックアナリストです。最近、Googleの公式番号を偽装した極めて巧妙なフィッシング攻撃が報告されており、多くのGmail利用者が標的になっています。
この攻撃の恐ろしいところは、攻撃者がGoogle本社の実在する代表番号「+1(650) 253-0000」を発信者番号として偽装し、さらにGoogleの正規機能を悪用している点です。一般的なフィッシングメールとは一線を画す、非常に高度な社会工学的攻撃といえるでしょう。
実際に発生した攻撃の詳細な手口
2025年8月中旬に報告された事例では、以下のような段階的な攻撃が行われました:
第1段階:不審なアカウント回復通知の連続送信
攻撃者はまず、被害者のGmailアカウントに対して不正なアカウント回復を試行します。この際、フランスや英国など海外からのアクセスを装った通知が繰り返し送られてきます。これにより被害者は「誰かが自分のアカウントにアクセスしようとしている」と不安になります。
第2段階:偽装電話による心理的操作
不安になった被害者に対し、攻撃者はGoogle本社の代表番号を偽装して電話をかけてきます。発信者はGoogle担当者を名乗り、「アカウントのセキュリティを確保するため」という名目で本人確認を要求します。
第3段階:正規機能を悪用したアカウント乗っ取り
最も巧妙なのがこの段階です。攻撃者は被害者に「セキュリティ確認のため」と称してアカウント回復プロンプトの承認を迫ります。これはGoogleの正規機能を悪用したもので、被害者が承認してしまうとアカウントが完全に乗っ取られてしまいます。
フォレンジック分析から見える攻撃の特徴
私がこれまで分析してきた類似の事例では、以下のような共通点が見られます:
発信者番号偽装技術の高度化
従来のフィッシング電話では明らかに怪しい番号や非通知が多かったのですが、この攻撃では実在するGoogle本社の番号が表示されます。これは「Caller ID Spoofing」という技術を使用しており、技術的な知識を持つ攻撃グループの仕業と考えられます。
タイミングの巧妙さ
不正アクセス通知と電話のタイミングが絶妙に調整されています。まず不安を煽る通知を送り、被害者が混乱している状況で「救世主」として現れる手法は、心理学的に非常に効果的です。
正規機能の悪用
最も危険なのは、Googleの正規のアカウント回復機能を悪用している点です。被害者からすると、表示される画面やプロセスは本物のGoogleのものと全く同じに見えるため、疑いを持ちにくくなっています。
個人・企業が今すぐ実装すべき対策
個人向けの緊急対策
1. 電話での本人確認要求は絶対に応じない
Googleを含む大手IT企業は、電話でアカウントの承認や本人確認を求めることはありません。どれほど本物らしく聞こえても、電話での要求は詐欺と考えてください。
2. 2段階認証の強化
SMS認証ではなく、認証アプリ(Google AuthenticatorやAuthyなど)を使用した2段階認証に切り替えましょう。SMSは傍受される可能性があります。
3. セキュリティキーの導入
可能であればFIDO2対応のハードウェアセキュリティキーを導入することを強く推奨します。これにより、フィッシング攻撃をほぼ完全に防ぐことができます。
4. アンチウイルスソフト
の導入
高品質なアンチウイルスソフト
は、フィッシングサイトへのアクセスをリアルタイムでブロックし、マルウェアの感染も防ぎます。特に、Webブラウザとメールクライアントでのリアルタイムスキャン機能が重要です。
企業向けの包括的対策
1. 従業員教育の徹底
定期的なフィッシング攻撃の模擬訓練を実施し、従業員のセキュリティ意識を向上させましょう。特に、電話による社会工学的攻撃への対処法を重点的に教育する必要があります。
2. VPN
による通信の暗号化
企業全体でVPN
を導入し、すべてのインターネット通信を暗号化します。これにより、攻撃者による通信の傍受や改ざんを防ぐことができます。
3. Webサイト脆弱性診断サービス
の定期実施
自社のWebサイトやWebアプリケーションに脆弱性がないか、Webサイト脆弱性診断サービス
を定期的に実施しましょう。攻撃者は企業のWebサイトを足がかりに、従業員や顧客を標的とした攻撃を仕掛けてくることがあります。
4. インシデント対応計画の策定
フィッシング攻撃を受けた場合の対応手順を明文化し、全従業員に周知しましょう。特に、疑わしい電話やメールを受信した際の報告ルートを明確にすることが重要です。
被害に遭った場合の緊急対応手順
もしこのような攻撃を受けた、または受けた可能性がある場合は、以下の手順で迅速に対応してください:
1. アカウントのパスワードを直ちに変更
攻撃者がアクセス権を取得する前に、すべての重要なアカウントのパスワードを変更します。
2. ログイン履歴の確認
Googleアカウントのセキュリティ設定から、最近のログイン活動を確認し、不審なアクセスがないかチェックします。
3. 関連サービスのセキュリティ確認
Gmail以外にも、同じパスワードを使用していたサービスがないか確認し、必要に応じてパスワードを変更します。
4. 金融機関への連絡
クレジットカード情報や銀行口座情報にアクセスされた可能性がある場合は、直ちに金融機関に連絡し、アカウントの監視を強化してもらいます。
なぜこの攻撃が特に危険なのか
フォレンジック調査の経験から言えば、この攻撃が特に危険な理由は以下の通りです:
検知の困難さ
従来のセキュリティソリューションでは検知が困難です。なぜなら、使用されているのは正規のGoogle機能であり、技術的には「異常」ではないからです。
被害の拡大性
Gmailアカウントが乗っ取られると、そこから他のサービスへのパスワードリセットが可能になり、被害が連鎖的に拡大します。特に、Googleアカウントと紐づけられたクラウドストレージやその他のサービスも危険にさらされます。
証拠隠滅の巧妙さ
攻撃者は乗っ取り後、証拠となるメールやログを削除することが多く、被害の全容を把握するのが困難になります。
今後の対策と継続的な監視
このような攻撃は今後も巧妙化していくと予想されます。重要なのは、一度対策を講じたら終わりではなく、継続的にセキュリティ態勢を見直し、強化していくことです。
特に、新しい攻撃手法に関する情報を定期的に収集し、それに応じて対策をアップデートしていく姿勢が重要です。また、個人だけでなく組織全体でセキュリティ意識を共有し、互いに注意喚起し合える環境を作ることが、最も効果的な防御策となるでしょう。
サイバー攻撃の手法は日々進歩していますが、基本的な対策を確実に実行することで、被害を大幅に軽減することが可能です。皆さんも今回紹介した対策を参考に、自身のデジタルセキュリティを見直してみてください。
