ニュース
» 2020年08月21日 10時50分 公開

GmailとG Suiteの脆弱性、研究者の公表を受けGoogleが修正

Googleに報告してから120日を過ぎても脆弱性が修正されなかったことから、研究者が公表に踏み切ったところ、同社は、その日のうちに対策を講じた。

[鈴木聖子,ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 米カリフォルニア大学バークリー校のセキュリティ研究者である、アリソン・フサイン氏は2020年8月19日、自身のブログで「Gmail」と「G Suite」の脆弱(ぜいじゃく)性の詳細を公表した。

 同ブログによると、脆弱性を悪用すれば、GmailとG Suiteの迷惑メール防止対策をかわして、他人を装った不正なメールを送信できるという。フサイン氏は「脆弱性を公表したその日のうちに、米Googleは、悪用を防ぐための対策を講じた」と報告している。

 フサイン氏のブログによると、この脆弱性は、送信元メールアドレスを偽装して他人になりすます古典的なメールスプーフィングの手口とは異なる、Google特有の問題だという。

 本脆弱性は、メールのルーティング設定の際、検証に不備があったのが原因だ。G Suiteのメールルーティングルールを使って不正なメッセージを中継、真正性を付与し、GmailとG Suiteに実装された厳格ななりすまし防止技術の「Sender Policy Framework」(SPF)や、送信ドメイン認証技術「Domain-based Message Authentication, Reporting and Conformance」(DMARC)ポリシーを無効化できてしまう可能性がある。

脆弱性の発見から対応まで137日 タイムラインを追う

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ