先週、大規模なフィッシング攻撃がメールユーザーを標的に発生しました。そのメッセージは、Googleドキュメントへの参加を勧める、知人からの招待メールを装っていました。しかし、リンク先のウェブページには、Googleドキュメントに見せかけたアプリへのアクセスを許可するよう要求する内容が書かれていました。しかし、実際には、そのアプリは連絡先リストに登録されている人々にスパムメールを送信するものでした。
この攻撃は巧妙に設計されていたため、元のメッセージが [email protected] に送信され、BCC であなたに送信されるなど、ヒントになる部分があったにもかかわらず、多くの人が騙されてしまいました。
Google は迅速に対応し、1 時間以内にフィッシング キャンペーンを無効にし、次のような声明を発表しました。
Googleドキュメントを装ったメールからユーザーを保護するため、不正アカウントを無効化しました。偽ページを削除し、セーフブラウジングを通じてアップデートを配信しました。また、不正使用対策チームは、このようななりすましの再発防止に取り組んでいます。Gmailでフィッシングメールを報告していただくようお願いいたします。
その後、Google は別の声明を発表しました。
Google アカウントについてご心配されている皆様には深く感謝しております。調査を重ねた結果、より詳細なご説明が可能になりました。Google ドキュメントを装ったスパムメール攻撃からユーザーを保護するための対策を講じました。この攻撃は Gmail ユーザーの 0.1% 未満に影響を及ぼしました。偽のページやアプリケーションの削除、セーフ ブラウジング、Gmail、その他の不正使用防止システムによるアップデートの適用など、自動および手動による対策を組み合わせ、ユーザーをこの攻撃から保護しました。攻撃は約 1 時間以内に停止しました。この攻撃では連絡先情報がアクセスされ、使用されましたが、調査の結果、その他のデータは漏洩していないことが確認されています。
この事象に関して、ユーザーが他に講じる必要のある措置はありません。アカウントに接続されているサードパーティ製アプリを確認したいユーザーは、Google セキュリティ診断をご利用ください。
Gmail ユーザーの 0.1% というと少ないように思えるが、Google は 2016 年 2 月時点で Gmail ユーザー数が 10 億人に達したと報告しているため、実際には 100 万人を優に超えている可能性がある。
Googleが述べているように、現時点ではこの攻撃から身を守るために何もする必要はありません。しかし、これはGoogleアカウントをチェックして、それに関連するすべての情報を確認する良い機会です。
Google セキュリティ チェックアップ ページから開始します。このページでは、アカウント回復情報、接続されているデバイス、アカウント権限、アプリ パスワード、2 段階認証プロセスの設定を確認する手順を説明します。
特に、「アカウント権限の確認」では、見覚えのないアプリのアクセス権限を必ず削除してください。アプリをクリックすると、Googleアカウントへのアクセスをいつ承認したか、またどのような情報にアクセスできるかなど、詳細を確認できます。
「アプリのパスワードを確認」画面に進むと、ほとんど、あるいはすべてのパスワードを取り消すことができるかもしれません。Googleは2段階認証システムに対応していないアプリでもパスワードを生成できますが、iOS 8.3以降、およびOS X 10.10.3 Yosemite以降のGoogleブランドアプリではパスワードを生成する必要はありません。同様に、iOSのメールアプリでGmailを設定する場合もアプリ固有のパスワードは不要で、ほとんどの独立系アプリはここ数年でアップデートされています。私は2015
年以降、作成したアプリ固有のパスワードを一度も使っていないようなので、おそらくすべて削除できるでしょう。
この話に何か教訓があるとは思えませんが、メールの内容だけでなく、メールからクリックしてアクセスできるWebページ、特にパスワードなどの個人情報を求められるページでも、内容をよく確認するようにしましょう、という点だけは確かです。フィッシングメールには、スペルミスや文法の誤り、宛先や送信者の入力ミスがほぼ必ずあります。大企業がそのようなミスをすることはありません。メールの内容に違和感を感じたら、
メッセージから直接クリックするのではなく、リンク先のWebページに手動で移動してください。
でも、あまり心配しすぎないでください。受信トレイに届くメールのほとんどは全く無害です。メールを開くたびにフィッシング攻撃を心配するのは、良いことではありません。