「Google Apps Script」を装ったフィッシング攻撃: チェック・ポイントの警告

チェック・ポイント・ソフトウェア・テクノロジーズは、2024年9月19日（米国時間）に、「Google Apps Script」のマクロを偽装したフィッシングキャンペーンを確認したと発表した。Google Apps Scriptは、Googleアプリケーションのタスクを自動化するためのツールであり、サイバー犯罪者にとって格好の標的となっている。

このフィッシング攻撃では、攻撃者が「登録した覚えのない」サービスのユーザー登録が完了したと偽り、詳細を確認するよう求めるメールを送信する。メールには、Google Apps Scriptのページに誘導するリンクが含まれており、そのURLは「script.google.com」という文字列を含むため、安全で信頼できる決済サービスであるかのように見せかける。

チェック・ポイントは、英語、ロシア語、中国語、アラビア語、イタリア語、ドイツ語、フランス語など、複数の言語で書かれた約360通のメール攻撃を確認している。攻撃は現在も継続中であり、同社はユーザーに対して、身に覚えのないサービス登録に関するメールに注意を払い、一見して信頼できるドメインを含んでいても機密情報を求めるページに飛ぶリンクには十分な注意を払うよう呼びかけている。