デジタル詐欺対策ハンドブック

Google DriveやMicrosoft 365を悪用するフィッシング手口：その技術的仕組みと防御策

はじめに：正規クラウドサービス悪用フィッシングの台頭

近年、サイバー攻撃の手法は巧妙化の一途を辿っており、従来の不審なメールやウェブサイトによるフィッシングだけでなく、正規のサービス機能を悪用する手口が増加しています。特に、広く普及しているGoogle DriveやMicrosoft 365といったクラウドサービスの機能を悪用したフィッシングは、ユーザーや組織にとって新たな脅威となっています。

これらのサービスは日常業務に不可欠であり、ユーザーはそのドメインやインターフェースに対して強い信頼感を持っています。攻撃者はこの信頼性を逆手にとり、サービス本来の機能（ファイル共有、フォーム作成など）を用いて悪意のある活動を行います。本記事では、こうした正規クラウドサービスを悪用したフィッシングの手口、その技術的な背景、そして具体的な防御策について解説します。

従来のフィッシングとの違いと危険性

従来のフィッシング詐欺では、攻撃者は多くの場合、偽のウェブサイトを作成し、そのURLをメールやSMSなどで送りつけていました。ユーザーは不審なドメインやSSL証明書の警告などで偽サイトであることを見破れる可能性がありました。

しかし、正規クラウドサービスを悪用する手口では、攻撃はGoogleやMicrosoftといった信頼できるドメイン上で実行されます。例えば、Google Driveで共有された悪意のあるドキュメントへのリンクはdrive.google.com、Microsoft Formsで作成された偽のログインページへのリンクはforms.office.comといった正規のドメインになります。

これにより、以下のような点で危険性が増します。

• 信頼性: ユーザーは慣れ親しんだ、信頼できるドメインやインターフェースを見ることになり、警戒心が低下します。
• フィルタリング回避: セキュリティソフトウェアやメールフィルターは、正規のドメインからの通信をブロックしにくいため、攻撃が検知されずに通り抜けてしまう可能性が高まります。
• 手軽さ: 攻撃者にとって、偽サイトをゼロから構築・ホスティングするよりも、既存の無料または広く使われているサービス機能を利用する方が容易です。

正規クラウドサービスを悪用する具体的な手口

正規クラウドサービスを悪用するフィッシングにはいくつかの手法があります。

1. 共有機能の悪用

最も一般的な手口の一つです。攻撃者はGoogle DriveやOneDriveなどで悪意のあるファイル（ドキュメント、スプレッドシート、PDFなど）を作成し、標的ユーザーと共有します。

• 手法例:
  • ファイル共有通知: 「〇〇さんからファイルが共有されました」といった正規の通知メールやサービス内通知を悪用します。ファイル名には「緊急対応のお願い」「セキュリティ警告」「請求書」「給与明細」といった、ユーザーの興味や不安を煽るタイトルがつけられます。
  • ドキュメントへのリンク埋め込み: 共有されたドキュメントやスプレッドシートの中に、「詳細はこちらをクリック」といった偽のリンクを埋め込みます。このリンク先がフィッシングサイトである場合や、マルウェアをダウンロードさせるサイトである場合があります。
  • コメント機能の悪用: ドキュメントのコメント機能を使って、メンション付きで標的に通知を送りつけ、悪意のあるリンクやメッセージを忍ばせます。

2. フォーム機能の悪用

Google FormsやMicrosoft Formsといったフォーム作成サービスを悪用し、ユーザーの個人情報や認証情報を詐取します。

• 手法例:
  • 偽ログインページ: 正規サービスのログインページそっくりなフォームを作成し、「アカウント情報の更新が必要です」「セキュリティのため再ログインしてください」といったメッセージと共にリンクを送りつけます。フォームに入力されたIDやパスワードは攻撃者に送信されます。
  • 個人情報収集: 「アンケート」「懸賞応募」「サービス利用状況調査」などを装い、氏名、住所、電話番号、クレジットカード情報などを入力させます。

3. ホスティング機能の悪用

一部のクラウドサービスや関連サービス（例: Google Sites, Microsoft Azure Static Web Appsなど）は、静的なウェブサイトやアプリケーションをホストする機能を提供しています。攻撃者はこれらの機能を悪用し、比較的容易に正規ドメイン配下にフィッシングサイトを構築します。

• 手法例:
  • 偽の企業サイト/キャンペーンサイト: 企業サイトのログインページや、限定キャンペーンサイトなどを模倣したページを作成し、ユーザーを誘導します。

技術的背景：なぜ正規機能の悪用が成功しやすいのか

攻撃者が正規クラウドサービス機能を悪用する背景には、技術的な理由がいくつか存在します。

• ドメインの信頼性: Google (google.com, drive.google.com, forms.gleなど) やMicrosoft (microsoft.com, office.com, forms.office.com, onedrive.live.comなど) のドメインは、インターネット上の高い信頼性を持っています。これらのドメインからの通信は、多くのセキュリティ対策で「安全」と判断されがちです。
• SSL/TLS証明書: 正規サービスが提供するサイトやフォームは、有効なSSL/TLS証明書を使用しています。これにより、ブラウザのアドレスバーに鍵マークが表示され、ユーザーは通信が暗号化されていることを確認できます。従来の偽サイトでは証明書がない、あるいは警告が表示されることがありましたが、正規機能悪用ではこの見分けがつきにくくなります。
• コンテンツフィルタリングの限界: メールセキュリティゲートウェイやWebプロキシは、悪意のあるURLリストやキーワード、あるいはファイルのシグネチャに基づいてフィルタリングを行います。しかし、正規ドメイン上のファイルやフォームの内容をリアルタイムかつ詳細に検査し、悪意性を正確に判断することは技術的に限界があります。特に、ドキュメント内に埋め込まれたリンクや、フォームが収集する情報の種類を自動的に判別するのは困難です。
• サービスの連携と複雑性: これらのクラウドサービスは、他のサービス（シングルサインオン、サードパーティ連携など）と密接に連携しています。この複雑性が、攻撃者が正規の導線を悪用する機会を生み出します。
• 容易な構築: 攻撃者は、高度なインフラや専門知識がなくても、使い慣れたサービスインターフェースを使って悪意のあるコンテンツを作成・配布できます。

効果的な予防策と防御戦略

正規クラウドサービスを悪用したフィッシングに対抗するためには、ユーザー個人の意識向上と、組織的な技術対策の両面からのアプローチが必要です。

ユーザー個人が講じるべき対策

1. 共有ファイル・フォームの差出人を必ず確認する:
   • 見慣れないユーザーや組織からの共有通知、あるいは予期しないファイル共有やフォームへの誘導は、たとえ正規サービスからの通知であっても警戒が必要です。差出人のメールアドレスや氏名をよく確認しましょう。
2. 共有ファイル・フォームのコンテンツを慎重に確認する:
   • 共有されたドキュメントを開く際は、安易に内部のリンクをクリックしないようにしましょう。リンク先にマウスカーソルを合わせることで、実際のURLを確認できます（ただし、短縮URLやJavaScriptによるリダイレクトには注意が必要）。
   • フォームに入力を求められた際は、なぜその情報が必要なのか、正規のプロセスであるかを確認します。正規のサービスがパスワードやクレジットカード情報をフォームで直接入力させることは稀です。
3. 常に公式な経路を利用する:
   • サービスのログインや設定変更が必要な場合は、メールや共有ファイル内のリンクではなく、ブックマークや検索エンジン経由で公式ウェブサイトにアクセスし直す習慣をつけましょう。
4. 多要素認証（MFA）を有効にする:
   • サービスアカウントには必ずMFAを設定しましょう。万が一パスワードが漏洩しても、不正ログインのリスクを大幅に低減できます。
5. OSやソフトウェアを最新の状態に保つ:
   • 利用しているOS、ブラウザ、セキュリティソフトウェアなどを常に最新の状態にアップデートし、既知の脆弱性を悪用されないようにします。

組織が講じるべき対策

1. クラウドサービスの共有設定ポリシーの見直し:
   • Google WorkspaceやMicrosoft 365の管理コンソールで、ファイルの外部共有設定を組織のセキュリティポリシーに合わせて厳格化します。必要に応じて、特定のドメインとのみ共有を許可するなどの設定を行います。
   • 匿名でのリンク共有を無効化することも検討します。
2. 監査ログの監視と分析:
   • クラウドサービス上のファイル共有、アクセス、フォーム作成などの活動ログを定期的に監視し、不審な動きがないかを確認します。
3. データ損失防止（DLP）機能の活用:
   • 機密情報を含むファイルが意図せず外部に共有されていないか、DLP機能を用いて監視・制御します。
4. セキュリティ機能の強化:
   • Microsoft 365 Defender for Office 365やGoogle Workspaceのセキュリティセンターといった高度なセキュリティ機能を活用し、不審なメール、共有ファイル、リンクなどを検知・ブロックする能力を高めます。特に、リンクの安全性を実行時に確認する機能（Safe Linksなど）は有効です。
5. セキュリティ教育と啓発:
   • 従業員に対し、正規クラウドサービスを悪用したフィッシングの手口とその危険性について定期的に教育を行います。具体的な事例を共有し、不審な活動を報告するよう促します。
6. 技術的な防御策の導入:
   • 高度なメールセキュリティゲートウェイや、サンドボックス機能を持つエンドポイントセキュリティ製品、クラウドアクセスセキュリティブローカー(CASB)などを導入し、不審なコンテンツや通信を多層的に検知・ブロックします。
   • 特定のファイル形式やマクロを含むファイルの取り扱いについてポリシーを定めます。

まとめ：進化する脅威への継続的な対応

Google DriveやMicrosoft 365のような正規クラウドサービスを悪用したフィッシングは、その信頼性ゆえに非常に見破りにくい脅威です。従来のセキュリティ対策では検知が難しい場合が多く、ユーザー個人の警戒心と、組織的な技術対策およびポリシー設定が不可欠となります。

常に最新の詐欺手口に関する情報を収集し、利用しているサービスのセキュリティ機能について理解を深め、適切な設定を行うことが重要です。この記事が、正規クラウドサービス悪用フィッシングの脅威から皆様自身、そして組織を守るための一助となれば幸いです。継続的な学びと対策の実践が、デジタル詐欺から身を守る最善の方法です。