ニュース詐欺

フィッシング攻撃がGoogle Cloudサービスを悪用し、Microsoft 365のログイン情報を窃取

ピーター・アーンツ| 2026年1月6日
Google Cloud ロゴ

攻撃者は、スパムフィルターをすり抜ける非常に巧妙な偽の「Google」メールを送信し、被害者を複数の信頼できるGoogle所有サービスを経由させ、最終的にユーザー名とパスワードを収集するために設計されたMicrosoft 365の偽のサインインページへ誘導します。

研究者 サイバー犯罪者が利用していたことが判明した Google Cloud アプリケーション統合Googleの「メール送信」機能を利用して、正規のGoogleアドレスからフィッシングメールを送信する: noreply-application-integration@google[.]com.

Google Cloud Application Integrationは、ポイントアンドクリック設定であらゆるアプリケーションを接続し、ビジネスプロセスの自動化を可能にします。新規顧客には現在無料クレジットが提供されており、参入障壁が低くなることで一部のサイバー犯罪者を引き寄せる可能性があります。

最初のメールは、一見本物のように見えるGoogleアドレスから届き、ボイスメール通知や完了すべきタスク、文書へのアクセス許可など、日常的で馴染みのある内容を装っています。メールには本物のGoogle Cloud Storage URLを指すリンクが含まれているため、ウェブアドレスはGoogleに属しているように見え、明らかな偽物とは判断できません。

最初のクリック後、別のGoogle関連ドメインにリダイレクトされます(googleusercontent[.]comキャプチャまたは画像認証を表示します。「私はロボットではありません」チェックを通過すると、一見通常のMicrosoft 365サインインページのように見えますが、よく見るとウェブアドレスが公式のMicrosoftドメインではないことがわかります。

本サイトで提供された認証情報はすべて攻撃者に取得されます。

Googleのインフラを利用することで、フィッシング詐欺師はメールフィルターと受信ユーザーの両方からより高い信頼を得られます。これは脆弱性ではなく、Googleが提供するクラウドベースのサービスの悪用です。

Googleの回答

Googleは、この活動に対して措置を講じたと述べた:

Google Cloud Application Integration内のメール通知機能の悪用を伴う複数のフィッシングキャンペーンを遮断しました。重要な点として、この活動はワークフロー自動化ツールの悪用に起因するものであり、Googleのインフラストラクチャが侵害されたものではありません。この特定の攻撃からユーザーを守るための保護策を実装済みですが、悪意のある攻撃者が信頼できるブランドを偽装しようとする試みが頻繁に行われているため、引き続き警戒を呼びかけます。さらなる悪用を防ぐため、追加の対策を講じています。

GoogleやPayPalなどの企業による信頼されたワークフローを悪用した複数のフィッシングキャンペーンを確認しています。 PayPalDocuSign、その他のクラウドサービスプロバイダーの信頼されたワークフローを悪用し、フィッシングメールに信憑性を与え、標的を認証情報収集サイトへ誘導する事例を複数確認しています。

安全に過ごすには

こうしたキャンペーンは、フィッシングメールを見抜く責任の一部が依然として受信者にあることを示しています。情報を常に更新する以外に、安全を確保するために実践できるその他の対策をご紹介します。

  • ログインページの実際のウェブアドレスを必ず確認してください。正規のMicrosoftドメインでない場合は、認証情報を入力しないでください。パスワードマネージャーを使用すると、偽のウェブサイトで詳細が自動入力されないため有効です。
  • ボイスメール、ドキュメント共有、または権限に関する「緊急」メールには注意してください。たとえGoogleやMicrosoftからの送信元のように見えてもです。緊急性を装うことは、詐欺師やフィッシング詐欺師がよく使う手口です。
  • 可能な限り直接サービスにアクセスしてください。メール内のリンクをクリックする代わりに、通常のブックマークやアプリからOneDrive、Teams、Outlookを開いてください。
  • 多要素認証(MFA)を利用し、パスワードが盗まれただけでは不十分になるようにしてください。また、どのアプリがアカウントにアクセスできるかを定期的に確認し、認識できないものはすべて削除してください。

プロのアドバイス:Malwarebytes Guardは、このようなメールを詐欺として認識できます。不審なテキスト、メール、添付ファイル、その他のファイルをアップロードして、その見解を求めることができます。詐欺の認識には本当に優れています。

私たちは単に詐欺を報告するだけでなく、詐欺の発見を支援します。

サイバーセキュリティリスクは見出し以上の広がりを見せてはなりません。怪しいと感じたら、Malwarebytes Guardで詐欺かどうか確認しましょう。スクリーンショットを送信、不審な内容を貼り付け、またはリンク・テキスト・電話番号を共有すれば、詐欺か正当かを判断します。すべてのMalwarebytes Premium AndroidMalwarebytes 利用可能です。

著者について

ピーテル・アルンツ

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。

最新記事

AI
手が下へ伸びて、書かれたパスワードから一つのアスタリスクをつかむ。

AI生成パスワードはセキュリティリスクである

2月19, 2026

AI生成パスワードは「予測可能性が極めて高く」、真にランダムではないため、サイバー犯罪者による解読が容易である。

ニュース
テンガ ロゴ

親密な製品メーカーのテンガが顧客データを流出させた

2月19, 2026

テンガ社員に対するフィッシング攻撃により、米国顧客データが流出した可能性がある。顧客はセクストーションを題材としたフィッシング攻撃に警戒すべきである。

データ侵害
ベターメントのロゴ

ベターメントのデータ侵害は、当初考えられていたよりも深刻かもしれない

2月18, 2026

今回の侵害ははるかに深刻な事態であることが判明した。漏洩したデータには、フィッシング詐欺師が悪用可能な詳細な個人情報や財務情報が含まれている。

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺