Google から送られてきたように見え、技術的にも Google によって署名されているという、非常に巧妙なフィッシングメールが出回っていることが報告され、注意が呼びかけられています。
これは Android Authorityなどが、開発者ニック・ジョンソン氏の体験を元に報じており、一見正当に見えるメールから、Google自身のサービスである「Googleサイト」上に作られた偽のページへ誘導し、アカウント情報を盗み取ろうとします。当初 Google はこの手口に使われている技術的な問題を仕様としていましたが、現在は修正する方針に転換したとのことです。
- Googleが署名したように見える、非常に巧妙なフィッシングメールが報告
- Gmailの警告も表示されにくく、正規のメールに見える危険性
- リンク先はGoogleサイト (sites.google.com) 上に作られた偽ページ
- Googleの正規通知メールの仕組みを悪用し偽装・転送
- Googleは当初問題視せずも、現在は認証の欠陥を修正する方針
今回のフィッシングメールについて
今回報告されているフィッシングメールが厄介な点は、送信元が no-reply@accounts.google.com となっており、技術的にも accounts.google.com によって署名されているという点です。これにより、Gmail などのメールソフトで警告が表示されにくいという問題があります。
また、メール内のリンクをクリックすると、sites.google.com ドメイン上のページに誘導されます。これは誰でもウェブサイトを作成できる正規の Google サービスであるため、ドメインだけどを一見すると Google の公式ページのように見えてしまいがちです。
しかし、実際には攻撃者が作成した偽のサポートページやログインページであり、アカウント情報(パスワードなど)の入力や、追加のドキュメント(と称した不正ファイル)のアップロードを求めてきます。
なぜこのようなメールが出回るのか
なぜ攻撃者のメールが、本物の Google によって署名(認証)されてしまうのか、詳しい技術的な説明はここでは省きますが、開発者の分析によると、攻撃者は Google が正規の通知(例えば、アプリ連携の許可など、セキュリティに関する自動お知らせ)を送る際の仕組みの抜け穴のようなものを見つけ、それを悪用したようです。
具体的には、Googleから自動的に送信される正規の通知メールの一部に、攻撃者が用意したフィッシングメッセージ(「セキュリティ警告:確認してください」といった文章や偽サイトへのリンク)を紛れ込ませることに成功しました。
その正規の通知メールを被害者に転送することで、送信元アドレスとメールの署名は本物を使い、名ーるの内容(または一部)はフィッシングという見分けにくいメールが作成されたことによるものです。
Google は問題を認識して修正へ
この手口を発見したジョンソン氏が Google に問題を報告した当初、Google は「意図された動作である」として報告を一旦クローズしました。
しかし、その後 Google は方針を転換し、この認証に関する問題を修正することを決定したと、ジョンソン氏は報告しています。具体的な修正内容や時期は不明ですが、同様の手口が使えなくなるような対策が講じられるものと思われます。
今回の手口は非常に巧妙であり、Google が対策するにしてもユーザー側も注意が必要です。少なくとも、Google からのメールだと思っても、内容が不審な場合は疑う必要があります。
リンク先の URL を確認し、特にログインや個人情報を入力するページの URL が、本当に Google の正規でドメインであるかを確認してください。また、明らかに怪しいメールなどは安易にクリックしたり、入力をしないようにしましょう。
まとめ
Google の認証システムを悪用した、非常に見破りにくいフィッシングメールが報告されており、Google 側も対策に乗り出すとのことですが、ユーザー側も送られてきたメールには注意を払う必要があります。
