Google アカウント復旧機能に脆弱性 電話番号漏えいの恐れ:セキュリティニュースアラート
あるセキュリティ研究者が、Google アカウントにひも付けられた電話番号が漏えいする可能性のある脆弱性を報告した。検証では電話番号形式が限られる国において、1件当たりの特定に要する時間が15秒未満だったとしている。
「X」(旧Twitter)などで「skull」(別名:brutecat)という名前で活動するセキュリティ研究者は2025年6月9日(現地時間、以下同)、「Google アカウント」にひも付けられた電話番号が漏えいする可能性のある脆弱(ぜいじゃく)性について報告した。
JavaScript無効化状態で動作するGoogle アカウント復旧用のバックアップフォームを悪用し、特定のユーザーの電話番号を推測するという。
JavaScript無効でも動作 Google アカウントの思わぬ落とし穴
skull氏はJavaScriptを無効にしたWebブラウザでGoogleのサービスを調査中にこの復旧フォームが意図に反して機能していることを発見した。そのフォームは入力された名前と電話番号の一部に基づき、該当するGoogle アカウントが存在するかどうかを示す挙動をしていたという。
この仕組みを利用することで複数のリクエストを組み合わせて送信し、アカウントの表示名と電話番号の一部が一致するかどうかを確認できることが判明している。Google アカウントに設定されている回復用電話番号はユーザーが日常的に使用している主要な電話番号であることが多く、これを特定されることで個人情報が漏えいする可能性がある。
この脆弱性を悪用するにはターゲットのGoogle アカウントに設定された表示名とパスワード再設定画面などで表示される電話番号の末尾2桁といった情報が必要になる。skull氏はGoogleの「Looker Studio」を利用し、相手に通知を送ることなく表示名を取得する方法も確認している。
この他、一連の手法を自動化するため「gpb」と呼ばれるツールを開発し、国別の電話番号形式や桁数に基づいて電話番号を推測できるようにしている。検証ではオランダのように電話番号形式が限られる国において、1件当たりの特定に要する時間が15秒未満だったと報告している。
Googleはこの報告を2025年4月14日に受け取り、調査を経て同年5月22日までに問題のエンドポイントを無効化した。同年6月6日時点でJavaScript無効時のユーザー名復旧フォームは全てのユーザー向けに無効化され、脆弱性の悪用は不可能になっている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
病院のセキュリティ対策を阻む残酷な「カネ」の問題 業界構造から真因を探る
医療業界におけるランサムウェア被害が度々世間を騒がせている。調査報告書では基本的な対策ができていないケースが目立つが、この背景にあるものは何か。本連載は業界構造を深堀し、「カネ」「ヒト」などの観点からその真因を探る。
これから本格化? アクセスキー不正使用でのランサム事案がついに国内でも発生
クラウドサービスに対するアクセスキーを不正使用してランサムウェア攻撃を仕掛ける手法がついに日本でも確認されました。攻撃が今後本格化する可能性もあるため、アクセスキーを巡る運用のポイントを一緒に再確認しましょう。
セキュリティ人材は業界を越える――専門家と一般従業員で考える安全対策
サイバー攻撃が激化する今、IT以外の業界にこそセキュリティの知識が必要とされる時代が来ています。セキュリティ人材が他業界に進出する中、私たち一般の従業員が“ちょっとセキュアになる”ためにできることは何でしょうか。
日本企業にひっそりと入り込む北朝鮮工作員 面接や採用後に見破る方法
ソフォスは北朝鮮の脅威グループ「NICKEL TAPESTRY」が不正なIT労働者として日本企業などに侵入し、情報窃取や恐喝を実行する事例が拡大していると警告した。面接時や採用後に工作員の潜入を見破るにはどうすればいいのか。