Googleは、未確認のアプリがアカウントへのアクセスを要求した際に、近日中にユーザーに警告を表示すると発表しました。この変更は、同社がここ数ヶ月に行った他の改善と同様に、5月に約100万人に影響を与えた大規模なフィッシング攻撃への継続的な対応であると考えられます。
この攻撃には、Googleドキュメントを装った悪意あるアプリが利用されました。仕組みはこうです。Googleドキュメントを編集できるという内容のメールが届き、リンクをクリックすると、Googleアカウントへのアクセスを要求するダミーアプリに誘導されます。Googleドキュメントはアクセスを要求しません(すべての情報はGoogleファミリー内に保管されます)。しかし、それでもユーザーはデータへのアクセスを申し出るのを止められませんでした。
まず最初の追加機能は、未検証のアプリがアカウントへのアクセスを要求するたびに警告する新しい画面です。この警告は、アプリが要求している権限を通知する画面の前に表示されるため、アクセスを放棄する前に撤回することができます。これにより、例えば未検証のアプリにメール管理権限を与えてしまい、その直後にアプリが未検証であることを知らされるといった事態を防ぐことができます。そんな事態は避けられます。
2つ目の変更は、開発者がGoogleドキュメントやスプレッドシートなどのGoogleサービス向けのアドオンを作成できるApps Scriptにも検証警告を導入するものです。Googleはまた、アカウントへのアクセスを許可する前に、特定のアプリやアドオンを「信頼できるかどうか検討する」よう促す、より慎重な表現を使用するようになります。Apps Scriptツールには、Googleの担当者ではなく、一般ユーザーによって作成されたことを通知するバナーも表示されます。
最後の発表は既存のアプリに関するものでした。Googleは新規参入者への監視を強化するだけでなく、既存のアプリについても同様の措置を講じ、「既存のアプリの一部開発者」に認証プロセスを経ることを義務付けます。(どの開発者がこのプロセスを経る必要があるかをどのように決定するかについては言及していません。)Googleによると、これらの変更はすべて、ユーザーが自分のアカウントをコントロールできるようにするためのものです。
私たちは、ユーザーと開発者の双方にとって健全なエコシステムの育成に尽力しています。これらの新しい通知は、リスクにさらされている可能性がある場合にユーザーに自動的に通知し、ユーザーが情報に基づいた判断を下せるようにします。また、開発者にとっては、アプリのテストと開発が容易になります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
本日発表された最初の2つの機能、すなわち検証警告画面とApps Scriptの変更は、現在展開中です。Googleは、既存のアプリへの検証プロセスの拡張は「今後数か月」以内に開始されると述べています。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
