GmailとG Suiteの脆弱性、研究者の公表を受けGoogleが修正

Googleに報告してから120日を過ぎても脆弱性が修正されなかったことから、研究者が公表に踏み切ったところ、同社は、その日のうちに対策を講じた。

[鈴木聖子，ITmedia]

　米カリフォルニア大学バークリー校のセキュリティ研究者である、アリソン・フサイン氏は2020年8月19日、自身のブログで「Gmail」と「G Suite」の脆弱（ぜいじゃく）性の詳細を公表した。

　同ブログによると、脆弱性を悪用すれば、GmailとG Suiteの迷惑メール防止対策をかわして、他人を装った不正なメールを送信できるという。フサイン氏は「脆弱性を公表したその日のうちに、米Googleは、悪用を防ぐための対策を講じた」と報告している。

　フサイン氏のブログによると、この脆弱性は、送信元メールアドレスを偽装して他人になりすます古典的なメールスプーフィングの手口とは異なる、Google特有の問題だという。

　本脆弱性は、メールのルーティング設定の際、検証に不備があったのが原因だ。G Suiteのメールルーティングルールを使って不正なメッセージを中継、真正性を付与し、GmailとG Suiteに実装された厳格ななりすまし防止技術の「Sender Policy Framework」（SPF）や、送信ドメイン認証技術「Domain-based Message Authentication, Reporting and Conformance」（DMARC）ポリシーを無効化できてしまう可能性がある。

注目の関連記事

• 【続報あり】Googleで障害発生　GmailやGoogle Driveなどに影響か
• Googleが修正したGmailの脆弱性、「DOM Clobbering」の問題を悪用
• 「Chrome 84」に脆弱性、Googleがアップデート公開

脆弱性の発見から対応まで137日　タイムラインを追う