HACKER MEDICINE

毎日、膨大な数のフィッシングメールが飛び交っていますが、最近 Google Docs や Google ドライブを使うユーザーを標的とした詐欺メールは、その巧妙さが際立っていました。

この詐欺メールでは「Documents」という至ってシンプルな件名が使われており、そこに記載されているリンクをクリックして Google Docs にある重要な文書を確認するように促します。

リンク先が Google Docs でないことは言うまでもありません。確かに Google のサイトには移動しますが、そこで実際に表示されるのは Google Docs のログインページに偽装したページです。

図.Google Docs に偽装したフィッシング用ログインページ

偽のページは、実際に Google のサーバー上でホストされており、SSL を介して提供されているため、さらに本物らしく見えます。詐欺師は単に、Google ドライブアカウントの中にフォルダを作成し、公開設定をしてファイルをアップロードしているにすぎません。そのうえで、Google ドライブのプレビュー機能を使って共有アクセス可能な URL を取得し、それをメッセージに掲載しているのです。

このログインページは、Google の各種サービスで共通して使われているので、多くの Google ユーザーにとって見慣れたものでしょう（「One account. All of Google.（アカウント 1 つですべての Google サービスを。）」の下のテキストには、今アクセスしているサービスが示されますが、ほんのわずかの違いなので、ほとんどの人は気付きません）。

Google Docs のリンクにアクセスしたときに、このようなログインページが表示されるのはごく当たり前なので、深く考えずにログイン情報を入力してしまう人は多いかもしれません。

［Sign in］をクリックすると、ユーザーのログイン情報が、危殆化した Web サーバー上の PHP スクリプトに送信されます。

このページから今度は本当の Google Docs 文書にリダイレクトされるので、攻撃の全体がかなりの説得力を持っています。Google アカウントはフィッシング詐欺師にとって価値のある標的です。Gmail や Google Play など多くのサービスへのアクセスに使われるため、これを利用すれば Android アプリやコンテンツも購入できるからです。

シマンテック製品をお使いのお客様はこの脅威から保護されています。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

We see millions of phishing messages every day, but recently, one stood out: a sophisticated scam targeting Google Docs and Google Drive users.

The scam uses a simple subject of “Documents” and urges the recipient to view an important document on Google Docs by clicking on the included link.

Of course, the link doesn’t go to Google Docs, but it does go to Google, where a very convincing fake Google Docs login page is shown:

Figure. Google Docs phishing login page

The fake page is actually hosted on Google’s servers and is served over SSL, making the page even more convincing. The scammers have simply created a folder inside a Google Drive account, marked it as public, uploaded a file there, and then used Google Drive’s preview feature to get a publicly-accessible URL to include in their messages.

This login page will look familiar to many Google users, as it’s used across Google’s services. (The text below “One account. All of Google.” mentions what service is being accessed, but this is a subtlety that many will not notice.)

It’s quite common to be prompted with a login page like this when accessing a Google Docs link, and many people may enter their credentials without a second thought.

After pressing “Sign in”, the user’s credentials are sent to a PHP script on a compromised web server.

This page then redirects to a real Google Docs document, making the whole attack very convincing. Google accounts are a valuable target for phishers, as they can be used to access many services including Gmail and Google Play, which can be used to purchase Android applications and content.

Symantec customers are protected against this threat.