脅威リサーチ

スパム送信者が Google フォームのテストを詐欺に悪用

TALOS Japan
2023年11月23日

スパム送信者が Google フォームのテストの「スコアを通知」機能を悪用して電子メールを配信しています。
この電子メールは Google 独自のサーバーから発信されるため、スパム対策保護を回避して標的の受信トレイに届く確率が高くなります。
配信されるメッセージの量はノイズと呼べるレベルで推移していましたが、最近では数百件に跳ね上がっています。

Cisco Talos は最近、Google フォームで作成されたテストの機能を悪用したスパムメッセージが増加していることを確認しました。スパム送信者が発見した具体的な手口は、Google フォームで新しいテストを作成し、標的ユーザーの電子メールアドレスを使ってテストに回答してから Google フォームの「スコアを通知」機能を悪用すれば、そのユーザーにスパムを配信できるというものです。スパムメッセージは Google から発信されているため、メッセージが標的の受信トレイに届く可能性が高くなります。

過去 2 年間に「スコアを通知」機能を悪用した電子メールの量を示すヒストグラム

Cisco Talos は、件名ヘッダーに「Score released:」というテキストが含まれている最近のスパム攻撃を調査しました。調査の結果、スパムメッセージは Google フォームのテストの機能を使って生成されていることがすぐにわかりました。Google フォームの悪用は数年前からスパム攻撃で確認されていましたが、Talos が調査したところ、Google フォームのテストの特定の機能がスパム送信に悪用されるということは、比較的最近までほとんどありませんでした。

Google フォームのテスト

Google フォームでは、新しいフォームを作成する際に [テストにする（Make this a quiz）] を選択できます。[成績の発表（RELEASE GRADES）] で [確認後に手動で表示する（Later, after manual review）] を選択すると、テストで電子メールアドレスが収集されます。

[成績の発表] が [確認後に手動で表示する] に設定されている Google フォームのテストのサンプル

別の箇所にある [回答（Responses）] の設定で [回答者からの入力（Responder input）] を選択すると、スパム送信者は標的の電子メールアドレスを使用してフォームに入力できるようになります。

メールアドレスを回答者が入力できるように設定されたフォームのサンプル

このようにフォームを設定すると、スパム送信者はフォームへのリンクを取得してアクセスできるようになります。その後、標的の電子メールアドレスを使ってフォームに入力し、送信します。テストの質問への回答は何でもかまいません。その後、攻撃者が生成した偽のテストの回答を表示できるようになります。

Google フォームのテスト作成者から見たテストの回答のサンプル

右上の [スコアを通知（Release scores）] ダイアログをクリックすると、フォームの作成者に [メールでスコアを通知（Send emails and release）] するようにプロンプトが表示されます。電子メールの一部として配信されるメッセージはカスタマイズ可能で、任意のテキストや URL を含めることができます。このメッセージはテストを作成した Google アカウントの「From:」アドレスを使って Google から配信されます。この手口で作成された電子メールメッセージは Google のサーバーから発信されるため、標的の受信トレイに届く可能性が高くなります。

Google フォームのテストスパムが巧妙な暗号通貨詐欺にも使用される

このような Google フォームのテストの「スコアを通知」機能を使用したスパムの最近の例を以下に示します。

Google フォームのテストの「スコアを通知」機能を利用した最近のスパム攻撃の例

標的がこの電子メールの [表示（VIEW）] ボタンをクリックすると、スパム送信者が生成した偽のフォーム回答に誘導されます。

「Scores released:」というスパムメールにある [表示] をクリックすると、スパム送信者が生成したフォーム回答に誘導される

この特定のフォーム回答には [>>> サイトにアクセス（>>> GO TO THE SITE）] というリンクが記載されています。このリンクをクリックすると別の Google フォームが表示され、電子メールアドレスの確認が求められます。攻撃のこの段階で 2 つ目のフォームに電子メールアドレスを入力すると、外部の Web サイト go-procoinwhu[.]top へのリンクが記載されたフォーム回答が表示されます。

標的が電子メールアドレスを「確認」すると、第三者の Web サイトへのリンクが表示される

go-procoinwhu[.]top ドメインは 2023 年 10 月 28 日に作成されたばかりですが、すでにこのドメインをリクエストする DNS クエリの数が大幅に増加しています。

Google フォームの回答に記載されている go-procoinwhu[.]top のリンクをクリックすると、Cloudflare から 302 リダイレクトされ、同じく Cloudflare によってホストされている https://hdlgr[.]dudicyqehama[.]top/ に誘導されます。このドメインも最近（2023 年 10 月 25 日）作成されたもので、Umbrella Investigate でも非常によく似た DNS トラフィックパターンが見つかっています。

dudicyqehama.top の Web サイトに移動すると「自動クラウドビットコインマイニング（automatic cloud Bitcoin mining）」によって標的が口座に 1.3 ビットコイン以上（このサイトでは 46,000 米ドル以上に相当すると説明）を保有していると騙る巧妙な詐欺サイトが表示されます。

標的が 1.3 ビットコイン以上を保有していると騙る、暗号通貨関連の悪意のある Web サイト

[続行（Continue）] をクリックすると、メイン Web サイトの「ログインページ」が表示されます。ユーザー名とパスワードはログインフォームにあらかじめ入力されているので、標的は「サインイン」ボタンをクリックするだけです。

詐欺犯が作成した Web サイトの偽のログインフォーム（ユーザー名とパスワードはフォームに入力済み）

ログインすると、Web サイトが本物らしく見えるよう細工していることがすぐにわかります。サイトの下のほうにはグループチャット機能まで用意されており、さまざまなユーザーが暗号通貨に関する話をしている様子が表示されます。ログインしたユーザーである標的もコメントを投稿できます。チャットでテキストをスクロールして見ていくと、同じコメントが何度も繰り返されているので、コメントしているのが実在のユーザーではないことがわかります。

Web サイトを本物らしく見せるために詐欺犯は偽のグループチャットまで用意

標的がメインサイトからビットコインを請求しようとすると、「Sophia」という名前のエージェントとライブチャットできるサイトにリダイレクトされます。

標的がビットコインを請求しようとすると、「Sophia」という名のエージェントとの「ライブ」チャットに誘導される

Sophia はしばらくチャットした後に、ビットコインを受け取るために必要事項を記入するフォームを送信します。

ビットコインを受け取るためのフォームを Sophia が送信

このフォームでは、名前、電子メールアドレス、ユーザーが希望する引き出し方法を記入するよう求められます。

標的は、現金化したビットコイン（米ドルに交換）を受け取る方法をフォームに記入する必要がある

フォームに記入して送信すると再び Sophia とのチャットに戻され、ビットコインから米ドルへの通貨交換を開始するボタンが表示されます。

Sophia がチャットを終了し、通貨交換のためのボタンが表示される

これで、この詐欺の最終目的が見えてきました。約 48,000 米ドルを請求するためには、0.25%、つまり 64 米ドルの「為替手数料」を支払わなければならないと指示されます。

ビットコインを換金して米ドルを受け取るには 0.25% の為替手数料を支払う必要がある

[ビットコインを交換する（Exchange Bitcoin）] をクリックすると最後のフォームが表示され、名前、電子メール、電話番号の入力が求められます。

詐欺犯の支払いフォーム（64 米ドルを請求）

[支払う（Pay）] をクリックすると、スパム送信者のビットコインウォレットの QR コードが表示されます。幸いなことに、2023 年 11 月 6 日の時点では接続先のビットコインウォレットが空だったため、この詐欺に引っかかって現金を支払った人はいませんでした。

攻撃者が「為替手数料」を受け取るために使用するビットコインウォレット

このようなスパム攻撃を行うための下準備にかかった多大な労力と、それに続く暗号通貨詐欺を成功させるためのソーシャルエンジニアリングにおける用意周到さを考えると、サイバー犯罪者が標的から少額でも金銭を騙し取ろうと躍起になっている様子がわかります。よくあることですが、あまりにもうまい話を持ちかけられた場合、それはほぼ詐欺です。