「Google Docs」を装う詐欺メールが横行、Googleが対応説明

詐欺メールの送信者は、自分の連絡先に登録されている知人や組織など信頼できる相手の名前なので、ユーザーはだまされてクリックしてしまいやすい。

[鈴木聖子，ITmedia]

　知人からの文書共有通知に見せかけたメールでユーザーをだまし、GoogleのGmailアカウントを乗っ取ろうとする攻撃が横行している。米セキュリティ機関のUS-CERTやSANS Internet Storm Centerも注意を呼び掛け、Googleは5月5日、攻撃阻止の対策を講じていることを明らかにした。

　SANS Internet Storm Centerによると、この手口では、Google Docsの文書共有通知を装った詐欺メールがユーザー宛てに届く。送信者は、自分の連絡先に登録されている知人や組織など信頼できる相手の名前なので、ユーザーはだまされてクリックしてしまいやすい。

Google Docsを詐称してユーザーに認証させる手口が横行している（画像はSANS Internet Storm CenterのWebサイトから）

　メールの指示通りにクリックすると、OAuth2と呼ばれるユーザー認証の仕組み使った管理ページにリダイレクトされ、自分のGmailアカウントの管理権限と、連絡先情報の管理権限を、「Google Docs」に与えるよう促される。

　だがここに記載された「Google Docs」は、実際はGoogleのサービスではなく、攻撃者が自分の「アプリケーション」に、Google Docsという名称を付けているにすぎない。

　しかしそれに気付かずにユーザーが「Allow（許可）」ボタンをクリックしてしまうと、攻撃者に自分のアカウントへの不正アクセスを許すことになり、自分のGmailが詐欺メール送信などの不正行為に利用される状態になる。

　Googleは5月5日のブログで、攻撃者に付与されたアクセス権限を全て無効にするとともに、攻撃に使われた不正なページやアプリケーションは削除して、Safe BrowsingやGmail、Google Cloud Platformなどのサービスを通じてユーザー保護を図っていると説明した。

　同様の手口を使った攻撃の再発を防ぐため、OAuthアプリケーション強化などの対策も講じているという。今回の攻撃の被害に遭ったのは、全ユーザーの0.1％に満たないと強調している。

Googleは5月5日付のブログで状況を解説している

　米セキュリティ機関のUS-CERTではこうした攻撃の被害を防ぐため、「たとえ知っている相手から届いたメールに思えたとしても、電子メールにリンクが記載されていた場合、クリックには慎重になる必要がある」と呼び掛けている。