Googleに報告してから120日を過ぎても脆弱性が修正されなかったことから、研究者が公表に踏み切ったところ、同社は、その日のうちに対策を講じた。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米カリフォルニア大学バークリー校のセキュリティ研究者である、アリソン・フサイン氏は2020年8月19日、自身のブログで「Gmail」と「G Suite」の脆弱(ぜいじゃく)性の詳細を公表した。
同ブログによると、脆弱性を悪用すれば、GmailとG Suiteの迷惑メール防止対策をかわして、他人を装った不正なメールを送信できるという。フサイン氏は「脆弱性を公表したその日のうちに、米Googleは、悪用を防ぐための対策を講じた」と報告している。
フサイン氏のブログによると、この脆弱性は、送信元メールアドレスを偽装して他人になりすます古典的なメールスプーフィングの手口とは異なる、Google特有の問題だという。
本脆弱性は、メールのルーティング設定の際、検証に不備があったのが原因だ。G Suiteのメールルーティングルールを使って不正なメッセージを中継、真正性を付与し、GmailとG Suiteに実装された厳格ななりすまし防止技術の「Sender Policy Framework」(SPF)や、送信ドメイン認証技術「Domain-based Message Authentication, Reporting and Conformance」(DMARC)ポリシーを無効化できてしまう可能性がある。
Copyright © ITmedia, Inc. All Rights Reserved.