Techstrong Groupは5月6日(米国時間)、Security Boulevardに掲載した記事「Urgent Warning for Gmail Users: 1.8 Billion Accounts at Risk - Security Boulevard」において、18億のGmailアカウントが危険にさらされているとして警鐘を鳴らした。

これはソフトウェア技術者のNick Johnson氏宛に送られたフィッシングメールを受けてのもの。メールは正規の「accounts.google.com」から送信されており、同氏は今後も同様の攻撃が多発する可能性があるとして警戒を呼びかけている。

  • Urgent Warning for Gmail Users: 1.8 Billion Accounts at Risk - Security Boulevard

    Urgent Warning for Gmail Users: 1.8 Billion Accounts at Risk - Security Boulevard

Googleを偽る巧妙なフィッシングメール

Nick Johnson氏は受信したフィッシングメールをXに投稿し、外見上不審な点がほぼ存在しないことを伝えている(参考:「Nick Johnson氏のXへの投稿」)。

  • フィッシングメールの例 - 引用:Nick Johnson氏のXへの投稿

    フィッシングメールの例 引用:Nick Johnson氏のXへの投稿

攻撃者は本当に正規の「accounts.google.com」からメールを送れるのだろうかと疑問に思うところだが、同氏は次のように述べ悪用可能だとしている」

Googleインフラストラクチャに存在する脆弱性を悪用したもので、Googleがこの脆弱性の修正を拒否していることから、今後も同様の攻撃が多発する可能性がある。

フィッシングメールは「no-reply@google.com」の署名付きで、DKIM(DomainKeys Identified Mail)をパスし、Gmailは警告なしで表示するという。この手法はDKIMリプレイ攻撃によるものと確認されており、EasyDMARCは2025年4月11日に詳細な分析結果を公開している(参考:「Google Spoofed Via DKIM Replay Attack | EasyDMARC」)。

Googleは不具合修正の姿勢

脆弱性の報告を受けたGoogleは「意図したとおりに動作している」として一度修正を拒否しているが、その翌日には考えを改め、OAuthの不具合を修正する方針に切り替えたとされる(参考:「Nick Johnson氏のXへの投稿」)。

そのため、将来的にこの攻撃手法は悪用困難になるとみられているが、それまでの間、チャンスを逃すまいと攻撃者が積極的に悪用する可能性がある。そこで、多発が予想される同様の攻撃を回避するために、Gmailユーザーには次の対策の実践が推奨されている。

  • 再設定用の連絡手段に電話番号または別のメールアドレスを登録する
  • 多要素認証(MFA: Multi-Factor Authentication)を有効にする
  • Google Chromeのユーザーはパスワードアラート機能を有効にする
  • メールやメッセージに記載のリンクに注意する。特に緊急性を訴えるもの、法的処置の通知、アカウントアラートなどは詐欺に使われるケースが多い
  • 認証情報を入力する前に毎回必ずURLを確認する。今回の場合、フィッシングサイトは「sites.google.com」を用いているが、正規サイトは「accounts.google.com」を使用する
  • 不審に感じた場合は専門家に相談する

今回のフィッシングメールは法的要請に基づくアカウントコピーが必要としてログインを要求するが、プラットフォーマーはユーザー情報の提供に本人のログインを必要としない。本人の意思確認が必要だったとしても、メールまたは電話のやり取りだけで可能。Googleも今回のフィッシングメールのようにアカウント情報を要求したり、ユーザーに直接連絡して入手を試みたりすることはないとしている。

攻撃者は緊急性を訴えるメールなどでユーザーの正常な判断力を奪い、認証情報の窃取を試みる。送信元アドレスの確認やSPF、DKIM、DMARCだけではフィッシングメールを検出できないケースがあることを理解し、メールやメッセージに記載されているリンクには安易に触れないことが望まれている。