電子メールに関するセキュリティソリューションを提供しているAvananは1月6日、公式ブログ「Google Docs Comment Exploit Allows for Distribution of Phishing and Malware」において、Google ドキュメント(Google Docs)に発見されたコメント機能のセキュリティの欠陥について報告している。
Avananによると、この攻撃はGoogle ドキュメントのコメントにおける通知機能を悪用して行われるという。Google ドキュメントに「@」でターゲットユーザーを指定してコメントを追加すると、そのユーザーに対して電子メールの通知が送られる。この電子メールにはコメントの完全な内容が記載されるため、こ悪意のあるリンクやテキストを記載しておくことで、フィッシングやマルウェア配布などの攻撃に悪用することができる。電子メールにはコメント投稿者の名前のみが表示され、メールアドレスは表示されないため、なりすましが容易で、スパムフィルターによる排除も難しいという特徴があるという。
Avananでは、2021年10月にGoogle ドキュメントやGoogle スライドなどのコメント機能がスパムメールの送信に悪用される可能性があることを特定し、Googleに報告したが、それ以降もこの問題は修正されていないという。ブログでは、その後同12月以降に、Outlookユーザーを対象としてGoogle ドキュメントのコメント機能を利用した大規模な攻撃活動を観測したことが報告されている。
-
Google ドキュメントのコメント機能を悪用したフィッシングメールの例 引用:Avanan公式ブログ
Avananでは、これらの攻撃の被害を防止するために、Google ドキュメントのコメントをクリックする前にコメント内のメールアドレスを相互参照して正当なものであることを確認することを推奨している。また、リンクの確認や不自然な文法の検査など、フィッシングメールに対する一般的な防衛策についてエンドユーザーに教育することも重要だと助言している。
