最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆5月の国内フィッシング事情:週末にご用心/悪用ブランドが過去最高の50種に(2011/06/03) | メイン | ◆アカウント情報漏えい頻発~パスワードを強化し、使い回しは止めよう(IPA)(2011/06/06) »

2011/06/03

◆5月の国内フィッシング事情:Google Docsにご用心/ Gmailフィッシング騒動(2011/06/03)

■真偽の判別が難しい「Google Docs」の入力フォーム

 Googleが提供するサービスのひとつに、ブラウザを使ってドキュメントやスプレッドシートが作成できる「Google Docs」というものがある。5月30日付けのエフセキュアブログでは、このGoogle Docsのスプレッドシートを使ったフィッシングサイトに、頻繁に遭遇するようになったことを訴えている。

 Google Docsのスプレッドシートは入力フォームを公開する機能があり、実際にこれを使って作られたフォームのサンプルが、エフセキュアブログでいくつか紹介されている。その中にはGoogle自身のフォームもある。

 これらフォームは、有効なサーバー証明書を持った「spreadsheets.google.com」でホストされている。このGoogleのフォームは、自身のドメインでSSLが有効という、通常ならば本物と信じてよい存在なのだが、これと全く同じものを誰でも簡単に作れてしまうところに大きな問題がある。誰でも同じ場所に同じものを作れてしまうGoogle Docsのフォームは、本物と偽物の識別が極めて難しいので、個人情報やアカウント情報などの秘密情報の入力には利用してはいけない。もし「spreadsheets.google.com」のURLで、アカウント情報などの入力を求められたら、SSL接続の錠マークが表示されていても怪しいと疑ってかかろう。

 ちなみにこのGoogle Docsを使ったフィッシングらしきもので日本語のものは、これまでのところ見かけていないが、非日本語圏のものは確かに増えている。編集部が遭遇した件数は、昨年1年間で数件だったのに対し、4月は30件、5月は40件、6月はこの2日間だけですでに10件だ。

■米国で大騒動を巻き起こしたGmailフィッシング

 ついでなので、Googleがらみのフィッシングの話題をもうひとつお伝えしよう。米政府高官や軍事関係者など数百人が、Googleのメールサービス「Gmail」のフィッシング被害にあっていたことが今月2日に明らかになった。Googleの公式ブログによると、詐取したアカウントで「Gmail」の転送先を変更していたそうで、同社はメール内容の監視が目的ではないかと推察している。

 Sophosが、その詳細を綴ったMila氏のブログを紹介しており、そこでフィッシングメールなどのサンプルを見ることができる。

 サンプルにあるフィッシングメールは、差出人を「.mil」(米国防総省と下部組織)や「.gov」(米連邦政府と地方行政機関)に詐称している以外は、どれもよくある単純なもの。添付ファイルを開くとGmailの偽のログイン画面が現れるだけの仕掛けなのだが、たったこれだけで数百人がひっかかってしまったというなら、事態はかなり深刻だ。
 添付ファイルを無暗に開かないことはもちろんだが、Gmailのログインは、「google.com」にSSLで接続という基本さえ徹底していれば、これらフィッシングメールに引っかかるようなことはなかったはずだ。まずは、関係者の再教育が急務といえるのではないだろうか。

 今回の攻撃は、政府高官らにターゲットを絞ったものだったようだが、世界的には、不特定多数に向けたGoogleのフィッシングもよく見かける。その大半は、GoogleのSNSサービス「Orkut」をかたるものだが、中には「Google AdWords」や今回の「Gmail」も散見する。今のところは、非日本語圏のものばかりだ。

(2011/06/03 ネットセキュリティニュース)

【関連URL】
・Googleサーバでホスティングされるフィッシングサイト(エフセキュアブログ)
http://blog.f-secure.jp/archives/50605876.html
・Ensuring your information is safe online[英文](Official Google Blog)
http://googleblog.blogspot.com/2011/06/ensuring-your-information-is-safe.html
・Government officials, activists targeted in Gmail attack[英文](Sophos)
http://nakedsecurity.sophos.com/2011/06/02/government-officials-activists-targeted-in-gmail-attack/
・Targeted attacks against personal accounts of military, government employees and associates[英文](contagio malware dump)
http://contagiodump.blogspot.com/2011/02/targeted-attacks-against-personal.html

投稿情報: 08:44 |

|