海外で3日、Googleユーザーをねらったフィッシングメールが短時間に大量に出回り、セキュリティ関連機関が注意を呼びかける事態となった。メールはGoogleドキュメントへの招待状を装っており、だまされた場合、メールとアドレス帳の操作権限を自ら攻撃者へ渡してしまうように仕組まれていた。Googleは5日の声明で、すでにこの攻撃を遮断したことを明らかにしている。
Googleや、US-CERT(米国コンピューター緊急対応チーム)、SANS Internet Storm Centerによると、フィッシングメール(英文)は、「あなたの知人がGoogle Docsでドキュメントを共有した」として、ドキュメントを開くよう誘う内容だった。ドキュメントを見ようとメール内のリンクをクリックすると、未ログインの場合はまずログインを促す画面が開き、次に、“Google Docs”にメールの操作権限とアドレス帳へのアクセスを許可するよう求める画面が開く。
この画面はGoogleが管理している正式なもので、OAuth(オー オース)という仕組みを使ってGoogleアカウントと、外部サービスやアプリとを連携させる際に表示されるものだ。
注意が必要なのは、画面上の“Google Docs”は、Googleが提供している正規サービスのGoogle Docsではないことだ。“Google Docs”の実態は、攻撃者が作成して“Google Docs”と名付けただけの不正アプリだ。そもそも、本物のGoogle DocsサービスはOAuthを使わないため、共有ドキュメントを開く際にこの画面が表示されることはない。また、ドキュメントを開くためにメールとアドレス帳へのアクセスが必要だというのはおかしい。
詐欺であることに気付けず“Google Docs”にアクセス権を与えてしまうと、あなたのアドレス帳に登録されている人全員に、あなたからの招待状に見せかけた同内容のメールが送られてしまう。
Googleはこの攻撃を確認後、直ちに対策に乗り出し、攻撃者のアカウントを無効にして、偽装ページや不正アプリを削除したとしている。また、Safe BrowsingやGmailなどを更新し、ユーザー保護機能を強化するとともに、類似の攻撃を防ぐため、OAuthアプリケーションの強化や、スパム対策システムのアップデートも行ったという。
Googleアカウントを所持している方はこの機会に、アカウント情報(https://myaccount.google.com/)の「ログインとセキュリティ」にある「接続済みのアプリとサイト」から、アカウントへの接続を承認したアプリやサイトを確認してみてはいかがだろうか。身に覚えのないアプリや、もう利用しなくなったアプリ、さらに、今回使われた不正アプリ“Google Docs”があったら、[削除]をクリックして付与してある権限を取り消そう。
(2017/05/11 ネットセキュリティニュース)
【関連URL】
・Protecting You Against Phishing[英文](Google Security Blog)
https://security.googleblog.com/2017/05/protecting-you-against-phishing.html
・Google Docs Phishing Campaign[英文](US-CERT)
https://www.us-cert.gov/ncas/current-activity/2017/05/04/Google-Docs-Phishing-Campaign
・OAUTH phishing against Google Docs ? beware
https://isc.sans.edu/forums/diary/OAUTH+phishing+against+Google+Docs+beware/22372/
・アカウントに接続されているアプリ(Googleアカウントヘルプ)
https://support.google.com/accounts/answer/3466521?hl=ja