g.co、Googleの短縮URLを悪用したフィッシング攻撃の事例

• ハッカーがGoogle公式の短縮URLドメイン g.co のサブドメイン（important.g.co）を悪用し、巧妙なフィッシング攻撃を試みた事例
• 電話の発信者表示が "Google" となり、発信番号も (650) 203-0000 だったため、実際にGoogleからの電話のように見えた
• 通話品質や言語運用も自然で、フィッシングだと疑うのが難しいレベルだった

通話内容の概要

• 発信者は "Google Workspace" の担当者だと名乗り、ユーザーに最近フランクフルトのIPからログイン試行があったかを尋ねる状況説明を行った
• ユーザーが疑って「Google公式メールで確認してほしい」と求めると、important.g.co のアドレスからメールを送信した
• Googleが運用していると知られる g.co のサブドメインだったため、信頼しやすいよう誘導していた
• その後、デバイスのセッションをリセットするとして、2段階認証（2FA）コードをユーザーに送信し、そのコードを押すよう誘導した
• コードをクリックすると、ハッカーがユーザーのGoogleアカウントへのアクセス権を取得できる仕組みだった

メールとドメインの分析

• g.co 自体はGoogleの公式短縮URLドメイン
• しかし important.g.co のようなサブドメインを任意に作成できる形の脆弱性が存在すると推定される
  • Google Workspaceのドメイン認証プロセスの欠陥を悪用し、g.co のサブドメインを検証なしで確保したものとみられる
• 送信されたメールの DKIM/SPF なども正常に通過しており、本物のGoogleが送ったメールのように表示された

攻撃プロセスの主なポイント

• 電話スプーフィング: Caller ID が "Google" と表示されるように操作
• 公式連絡手段との類似性: 既知のGoogle電話番号に言及しつつ、実際のGoogleサポートページを見せて信頼を得る
• 巧妙な音声対応: 発信者の言葉遣い・態度・進行などが実際のエンジニアのように非常に説得力を持って演出されていた
• g.co サブドメインのメール: ユーザーにメールを送り「Google内部サブネット」だと説明して疑念を鈍らせる
• 2FAコードの要求: 最終的にデバイスセッションのログアウトを促し、ユーザーが 2FA コードを押すとハッカーがアカウントにアクセスできる

Hack Club側の分析

• Google Workspaceで important.g.co のようなサブドメインを実際に確保できたという仮説を提示
• この脆弱性により g.co 内部のサブドメインをGoogle Workspaceアカウントに接続でき、SPF/DKIM 認証済みメールを正規に送信できるようになる
• 複数の貢献者がメールヘッダーやドメイン設定などを確認し、問題を検証した

要約

• 従来から知られている「公式番号の確認」や「公式ドメインから来たメールの確認」だけでは安全とは限らないことを示している
• 電話やメールが本当にGoogleであることを裏づける複数の要素（電話番号、ドメイン、DKIM/SPF）も信頼を保証しない
• 不審な状況で要求された 2FA コードを押したり渡したりする行為には、特に注意が必要
• Google Workspaceアカウントとドメイン認証の脆弱性を悪用した事例とみられ、サービス提供者側のセキュリティ改善が求められる