GoogleがGmailの脆弱性に対処、ただし注意も必要

[ITmedia]

　米GoogleのWebメールサービス「Gmail」に脆弱性が見つかった問題で、US-CERTがアラートを公開した。脆弱性は既に修正された模様だ。

　アラートによると、Gmailにクロスサイトリクエストフォージェリ（CSRF）の脆弱性が存在し、ユーザーがGmailアカウントにログインした状態で細工を施したリンクをクリックすると、攻撃者がメールのフィルタを作成して任意のアドレスにメールを転送させることができてしまう。

　US-CERTはこの脆弱性を発見したハッカーサイト「GNUCITIZEN」の報告を引用し、Googleはこの問題を修正済みだと伝えている。GNUCITIZENはGoogleの対処を受け、コンセプト実証コード（PoC）を公開した。

　GNUCITIZENによると、Googleがこの脆弱性を修正した後も、被害者のフィルタリストに攻撃者が作成したフィルタは残ってしまい、攻撃は続くという。ユーザーは自分のフィルタリストをチェックして、怪しいものがあれば削除する必要がありそうだ。

　また、US-CERTではクロスサイトスクリプティング（XSS）やCSRFの脆弱性による今後の被害を免れる方法として、GmailのSMTP/POPサーバを使ったメールの送受信、Firefox拡張機能の「NoScript」利用、重要なメールや添付ファイルの暗号化などを挙げている。