GoogleのURLを使う詐欺サイトが見つかる、セキュリティ企業が問題提起
「Google Docs」のサービスがフィッシング詐欺サイトの運営に利用されるケースが多発しているという。
ワープロやスプレッドシートなどの文書を作成・公開できる「Google Docs」のサービスを悪用し、Googleのサーバ上でフィッシング詐欺サイトが運営されるケースが多発していると、セキュリティ企業のF-Secureがブログで伝えた。
Google Docsで作成した文書やスプレッドシートなどは、Googleのクラウドに保存され、スプレッドシートなら「spreadsheets.google.com」というURLを使って公開される。ところがF-Secureによれば、この仕組みを使ったフィッシング詐欺サイトが頻繁に見つかるという。
そうした詐欺サイトの実例として同社は、Webメールのアカウント情報更新やバグ報告などに見せかけて個人情報を入力させようとするフィッシング詐欺の画面をブログに掲載した。手口は非常に巧妙で、google.comのURLと有効なSSL証明書を使って詐欺サイトと判別しにくくしたものもある。
F-Secureはこの問題について調べている過程で、Google Voiceのアカウント移転申請用のフォームを発見。このフォームが一般公開用の「spreadsheets.google.com」でホスティングされていること、Google Voiceの番号や暗証番号などを入力させる仕様になっていることなどから、「当初はこれもフィッシング詐欺ではないかとの疑いを持った」(同社)という。Twitterで意見を募ったところ、やはり詐欺ページだろうと見る読者が多かった。
しかしその後、GoogleからF-Secureに連絡があり、このページはGoogleの公式なフォームだったことが判明したという。さらに「このフォームについて言及した部分をブログから削除してほしいと言われた」とも明かした。F-Secureはこの要請には応じられないとして、同フォームの掲載を続けている。
関連記事
- Google Docsにプライバシー問題? 文書を消しても画像は消えず
カナダの研究者が、Google Docsで文書に挿入した画像は、文書を削除した後もアクセスできてしまうなどの問題を指摘した。 - 「.com」のつもりが「.cm」、カメルーンのGoogleサイトに要注意
「.com」と間違えて入力しがちなカメルーンのドメイン「.cm」がフィッシング詐欺のパラダイスになりかねないと、SANSが注意を促している。 - Googleのフィッシング対策リストで情報流出の懸念
Googleのフィッシング対策用「ブラックリスト」に、ユーザー名やパスワードなどの個人情報が含まれていたことがFinjanの指摘で分かった。問題は既に修正されている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.