Googleは昨日、Android版Gmailで悪意のある可能性のあるメールについて警告を表示する機能を近日中に導入すると発表しました。この発表のタイミングは皮肉と言えるでしょう。というのも、同日、約100万人がGoogleアカウントから情報を盗み出すフィッシング攻撃の被害に遭っていたからです。
なりすましメールの受信から攻撃者にアカウントへの完全なアクセス権を与えるまでのプロセス全体は、わずか数秒で完了する可能性があります。多くの人がGoogleドキュメントを使ってファイルをやり取りしており、なりすましメールは被害者の知り合いから送信されたように見えるため、おそらくほとんどの人はためらうことなく悪意のあるリンクをクリックしたでしょう。そこから、なぜGoogleドキュメントにアカウントへのアクセスを許可しないのでしょうか?どちらもGoogleが提供しているものであり、技術に詳しくない人が、Googleがサービスに何か変更を加えて新しい権限を要求するようになったと推測するのは想像に難くありません。
これは新しい問題ではありません。研究者たちは2011年に、Googleなどの企業がユーザーのアカウントへのアクセスを他のサービスに提供するために使用しているOAuthシステムが、この種の攻撃を許す可能性があると警告していました。「Google Docs」などと名付けて、アプリが正当なものであるように見せかけるだけで十分です。そして、被害者がOAuthシステムを信頼している限り、アカウントへのアクセスを躊躇なく提供するでしょう。
攻撃は精査の結果崩壊した――サインインページで Google Docs の名前をクリックすると、攻撃者の電子メール アドレスが明らかになった――しかし多くの人は、そのようなことを額面通りに受け取るだろう。
よくある問題
多くのサービスは、他のアカウントへのアクセスを要求します。特にGoogle、Facebook、Twitterは、自社製品上で動作するアプリやウェブサイトを数多く提供しています(例えば、サードパーティ製のメールアプリやTwitterクライアントなど)。これらのアプリのほとんどは信頼できるものです。しかし、今回の攻撃以前から、他社に個人アカウントへのアクセスを許可すると逆効果になる可能性があることが、ここ数ヶ月で分かっています。Twitterは3月、アカウントが乗っ取られ、スワスティカなどの不快なコンテンツを投稿された事件で、このことを実証しました。アカウント自体が侵害されたわけではなく、ハッキングされたTwitter Counterというサービスを使用していただけです。
さらに最近では、Unroll.meというサービスが、利用者から収集した個人データを販売したことで大きな騒動を引き起こしました。このツールは、不要なプロモーションメッセージの購読解除を支援するために、ユーザーのメールアカウントへのアクセスを要求します。そして、そのアクセスを利用して領収書を閲覧し、その他の情報を収集します。これらの情報は匿名化されて他の企業に販売されます。(Unroll.meを買収寸前まで行った企業の社員を名乗る人物も、Hacker Newsで、このスタートアップ企業がユーザーがサービスを利用している間、送受信したすべてのメールのコピーを保管していたと主張しました。)
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
現実には、現代の企業は、個人情報へのアクセスを誰に許可するのか、その情報がどのように使用されるのか、そしてどこに送られるのかについて、ユーザーが考えることを望んでいません。多くの企業は、生活を可能な限り「スムーズ」にすることに注力してきました。その結果、Googleユーザーの0.1%、つまり100万人が、アプリがアカウントへのアクセスを要求することについて考えなかったために、生活が一変してしまう可能性があるエコシステムが誕生しました。しかし、繰り返しますが、なぜ彼らはそうするのでしょうか?Google、Facebook、Twitter、そしてそれらのサービス上に構築されている企業は、ユーザーに考えさせないように仕向けてきたのです。
Googleの対応
Googleは、Google Docs公式アカウントからの一連のツイートでこの攻撃を認め、次のような声明を発表しました。
セキュリティ診断ページへのリンクはこちらです。「アカウントの権限を確認」セクションで、アカウントに接続されているすべてのアプリを確認できます。今回探しているアプリはGoogleドキュメントです。このサービスを利用している場合でも、ここに表示される正当な理由はありません。ついでに、利用していないアプリがアカウントにアクセスできる状態になっていないか確認してみるのも良いでしょう。今回の攻撃の被害に遭われた方は、2つのことを知っておく必要があります。1つは、フィッシング攻撃が非常に危険な理由です。もう1つは、信頼できる仲間がいるという安心感です。2013年から2015年にかけて、GoogleとFacebookがフィッシング攻撃を受けました。攻撃者はメールを盗むどころか、1億ドルもの金を盗みました。
念のため言っておきますが、Android版Gmailの新しい保護機能は、この大規模フィッシング攻撃と同日に発表されたからといって皮肉なものではありません。皮肉なのは、この攻撃はGoogleのセキュリティシステムが想定通りに機能した時に発生したということです。あるアプリが誰かのアカウントへのアクセス許可を求め、そのユーザーが許可を与え、あとはGoogleが処理しました。唯一の難点は、そのアプリが悪意のあるものであり、人々を騙すためにGoogleのサービスを装っていたこと、そしてGmailがこれらのメールにフラグを付けなかったために成功したことです。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
