Google本社番号を装う新手のフィッシングに注意：セキュリティニュースアラート

米国在住のGmail利用者がGoogle番号を偽装した電話攻撃を受けた。不正アクセス通知と電話で承認を迫る手口とされ、正規機能を悪用したフィッシングの可能性がある。

[後藤大地，有限会社オングス]

　米国在住の「Gmail」利用者が2025年8月中旬、不正なアカウント回復試行を受けたと報告した。フランスや英国からのアクセスを装う通知が繰り返し届き、その後、Google本社の代表番号として知られる「+1（650） 253-0000」を偽装した電話がかかってきたという。発信者はGoogle担当者を名乗り、本人確認を装ってアカウント回復プロンプトの承認を迫ったとされている。

Googleを名乗る不審な電話、巧妙な手口の実態

　利用者は承認を拒否し被害を免れたが、この事例は正規の番号や機能を悪用する高度なフィッシング攻撃の一例といえる。攻撃者は、正規の2段階認証や回復フローを逆手に取り、利用者自身に承認操作を実行させることでアカウント窃取を狙っていたと考えられている。

　この手口では電話番号の偽装にVoIP技術が利用されることが多く、番号を検索しても正規組織の情報が表示されるため、利用者は正当性を誤認しやすい。国外からのアクセスを示唆するなど、事前に不安を煽る情報を提示することで警戒心を揺さぶり、緊急性を演出する点が特徴とされている。

　攻撃の成立条件は利用者がリカバリープロンプトを承認するかどうかだ。攻撃者はパスワードや認証コードを直接要求する必要がなく、承認操作だけで正規の本人確認手続きを通過できる。利用者が仕組みを十分に理解していない場合、本人の操作でアカウントを奪われる危険が高い。

　Googleが利用者に直接電話をかけ、認証を求めることはない。このような攻撃へのセキュリティ対策としては、SMS認証から認証アプリや物理セキュリティキーへの移行、Googleの「Advanced Protection Program」への登録、定期的なログイン履歴の確認などが推奨される。

　今回の報告は、個人の判断によって被害が未然に防がれた事例だが、攻撃は今後も継続するとみられる。Gmailや「Google ドライブ」、決済サービスと連携した「Google Pay」など、一度アカウントが奪われると被害は広範囲に及ぶ可能性がある。利用者は不審な電話やメールに対し、常に疑いを持ち、公式サポートページでの確認を徹底することが求められている。