ロシアのハッカーはOAuthと偽のGoogleアプリを使ってユーザーをフィッシングしている

米国と欧州の選挙を標的にしたとされるロシアのハッキンググループは、被害者を騙してパスワードを漏らすだけでなく、アクセストークンも盗み、電子メールアカウントに侵入している。

セキュリティ企業トレンドマイクロによると、この卑劣なハッキングはGoogleの2段階認証を回避できるため、特に懸念される。

トレンドマイクロは火曜日の報告書で、「ファンシー・ベア」または「ポーン・ストーム」として知られるこのグループは、フィッシングメールを送るという得意の手法で攻撃を実行していると述べた。

この攻撃は、Google を装い、「あなたのアカウントは危険にさらされています」という件名の偽のメールを送信することによって実行されます。

スクリーンショット 2017年4月25日午前11時2分34秒 — Fancy Bear が使用したフィッシングメールの例。

メールには、Googleがユーザーのアカウントへの予期せぬログイン試行を複数回検出したと記載されており、ユーザーに「Google Defender」というセキュリティアプリのインストールを推奨しています。

しかし、このアプリは実際には偽物です。トレンドマイクロによると、ハッカーグループは実際にはユーザーを騙してGoogleアカウント用の特別なアクセストークンを入手しようとしているとのことです。

この手口に引っかかった被害者は、実際のGoogleページにリダイレクトされ、ハッキンググループのアプリにメールの閲覧と管理を許可することができます。「許可」をクリックしたユーザーは、OAuthトークンと呼ばれるものを提供することになります。

OAuth プロトコルはパスワード情報を転送しませんが、特別なトークンを使用してサードパーティのアプリケーションにインターネットアカウントへのアクセスを許可するように設計されています。

OAuthプロトコルは利便性を重視して設計されたものの、セキュリティ専門家は悪意ある目的で使用される可能性があると警告しています。トレンドマイクロによると、Fancy Bearのケースでは、ハッカー集団がこのプロトコルを悪用し、被害者を騙してアカウントへのアクセスを奪う偽のアプリケーションを構築したとのことです。

「OAuth承認の審査プロセスを悪用した後、（同グループの）不正アプリケーションはサービスプロバイダーが承認した他のすべてのアプリと同様に動作する」とセキュリティ企業は述べた。

トレンドマイクロによると、不正なアカウントアクセスを防ぐために設計されたGoogleの2段階認証でさえ、ハッキングを阻止することはできないという。

Google の 2 段階認証は、ログイン時にパスワードだけでなく、ユーザーのスマートフォンに送信される特別なコードも要求することで機能します。セキュリティ専門家は、これはアカウントを保護する効果的な方法だと述べています。

しかし、Fancy Bear のフィッシング詐欺は、偽の Google セキュリティアプリを通じてユーザーを騙してアクセスを許可させることで、このセキュリティ対策を回避しています。

トレンドマイクロはレポートの中で、「標的は一般的なフィッシングメールには精通しているかもしれないが、OAuthを悪用する手口にはそれほど精通していない。十分な知識を持つ標的でさえ騙される可能性は高い」と述べている。

しかしグーグルは、このようなフィッシング攻撃からユーザーを守るために多くの対策を講じていると述べた。

「さらに、GoogleはOAuthの潜在的な不正使用を検出して審査し、Googleアプリのなりすましなど、ユーザーデータポリシーに違反する数千のアプリを削除しています」と同社は声明で述べた。

「本物のGoogleアプリは、Googleサイトから直接アクセスするか、Google PlayまたはApple Appストアからインストールする必要があることに注意してください」と付け加えた。

トレンドマイクロによると、このフィッシング攻撃は2015年と2016年に被害者を狙ったものでした。Fancy BearはGoogle Defenderに加え、「Google Email Protection」や「Google Scanner」といった名前のアプリも利用していました。また、「Delivery Service」や「McAfee Email Protection」といったアプリを使ってYahoo!ユーザーを狙っていました。