今週初め、約100万人がGmailアカウントへの完全なアクセス権を狙ったフィッシング攻撃の被害に遭いました。Googleは当初、一連のツイートでこの攻撃に対応し、騒ぎが収束し始めた今、自社のシステムがフィッシング攻撃からユーザーをどのように保護しているかを説明するブログ記事も公開しました。しかし、同社が今回のような攻撃の再発をどのように防ぐ計画なのかについては、依然として疑問が残ります。
この攻撃は、Googleドキュメントへのリンクを装ったリンクをクリックするようにユーザーを誘導することで機能しました。リンクをクリックすると悪意のあるアプリが開き、そのアプリは「メールの閲覧、送信、削除、管理」および「連絡先の管理」の許可を求めました。しかし、この要求は「Googleドキュメント」というアプリから発信されたものであり、メールもGoogleドキュメントから送信されたように見えるため、一見すると問題ないように見えました。
しかし、実際にはそうではありませんでした。GoogleドキュメントはGmailアカウントへのアクセス許可を求めません。しかし、Google、Facebook、Twitterアカウントへのアクセスを要求するサービスの数が膨大であるため、人々はためらうことなく自動的に許可を与えてしまうのです。Googleはブログ記事の中で、フィッシング攻撃を1時間で阻止したと述べていますが、その間にユーザーの0.1%、つまり約100万人に影響を与えてしまいました。
Googleは、この攻撃を許してしまったこと、特に2011年にこの可能性について警告を受けていたにもかかわらず、批判にさらされてきました。そのため、このブログ記事は、Googleがこの攻撃をいかにうまく阻止したかを自慢するのではなく、人々が依然としてGoogleを信頼していることを確かなものにするためのものです。同社は、自社製品利用者がフィッシング攻撃(およびスパム)の被害に遭わないようにするために採用している保護対策のリストを以下のように公開しました。
機械学習ベースのスパムおよびフィッシングメッセージ検出を使用することで、スパム検出の精度を99.9%に高めています。Gmail内および20億以上のブラウザで、危険なリンクに関するセーフブラウジングの警告を提供しています。動的なリスクベースのチャレンジを通じて、不審なアカウントへのログインを防止しています。メールの添付ファイルをスキャンして、マルウェアやその他の危険なペイロードを検出しています。
しかし、今回のケースではこれらの保護策だけでは不十分だった。Googleは攻撃を阻止することに成功し、「影響を受けたアカウントのセキュリティを再度確保するための措置を講じた」と発表している。しかし、悪意のあるアプリがGoogle Docsを装ったメールをGmailユーザーに送信し、ユーザーを騙してGoogleのOAuthシステム経由でアカウントへのアクセスを提供したという事実は、これらのサービスがどのように保護されているのかという疑問を依然として投げかけている。
Google はこれらの懸念を認め、将来同様の攻撃を防ぐ予定であると述べた。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
さらに、今後はこの種の攻撃に対抗するために、OAuth アプリケーションに関するポリシーと適用の更新、今回のようなキャンペーンを防ぐためのスパム対策システムの更新、ユーザーから情報を要求する疑わしいサードパーティ製アプリの監視の強化など、複数の対策を講じる予定です。
同社はまた、ユーザーに対し、セキュリティチェックアップを実施し、アカウントへのアクセスが許可されているアプリとデバイスが正規のものだけであることを確認すること、製品に表示される警告やアラートに注意すること、そして不審なメッセージを報告することを推奨した。また、企業管理者には、従業員の2要素認証を有効にし、従業員が共有できる情報を制限し、OAuth監査ログレポートを実行するよう指示した。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
