フィッシング詐欺は常にユーザーを騙して重要な情報を渡させようとしており、その多くには詐欺師からのメールだとわかる明らかな兆候があるものの、出回っている新しいフィッシングメールは Google 自身から発信されたもののようです。
開発者のニック・ジョンソン氏(X経由)は、複雑なフィッシング攻撃の標的となりました。この攻撃では、詐欺師がGoogleから本物に見えるメールを送信し、Gmailのセキュリティをすり抜けてGoogleの署名付きメールに見せかけます。ジョンソン氏が指摘しているように、このメールは本物のセキュリティ警告のように見せかけられることさえあります。
このメールはGoogleの通常のアドレスである「[email protected]」から送信され、「accounts.google.com」で署名されています。しかし、実際には「privateemail.com」から送信されており、攻撃者はユーザーを「sites.google.com」の下にある、これも本物に見えるサポートページに誘導していました。
まず注目すべき点は、これが有効な署名付きメールであるということです。本当に[email protected]から送信されたものです。DKIM署名チェックを通過し、Gmailでは警告なしで表示されます。しかも、他の正当なセキュリティ警告と同じスレッドに表示されています。pic.twitter.com/GxlFR6ccLGApril 16, 2025
フィッシングメール内のリンクをクリックすると、偽の「Google サポート」ページに誘導され、「追加書類のアップロード」または「ケースの表示」を求められます。ジョンソン氏によると、どちらのリンクをクリックしても、偽のサインインページ(これも sites.google.com 経由)に誘導され、アカウント認証情報の入力を求められます。
ここから、詐欺師はログイン情報を盗み、ユーザーのアカウントを乗っ取る可能性が高くなります。これらのページはsites.google.comを使用し、Googleの公式ページと全く同じように見えるため、詐欺師は潜在的な被害者を騙して本物のウェブサイトだと思わせることが容易になります。「google.com」というドメインを見ると、本物のウェブサイトのように見えるからです。
詐欺師はどうやって本物の Google メールを偽造したのでしょうか?
では、このフィッシングメールはどのようにしてGoogleの承認を得て、公式メールアドレスを使用することができたのだろうか?ジョンソン氏は2つの脆弱性を指摘する。1つ目は、Googleがユーザーに「sites.google.com」経由で「google.com」サブドメインのウェブサイトをホストすることを許可している点だ。
開発者は、Google は「サイト内のスクリプトと任意の埋め込みを無効にする」べきであり、これは「フィッシング ベクトルとして強力すぎる」と述べている。
最新ニュース、最も注目されているレビュー、お得な情報、役立つヒントにすぐにアクセスできます。
もう一つの例外は、送信者からのメールです。このメールは「accounts.google.com」で署名されていました。攻撃者はこの署名を取得するために、ドメインを登録し、Googleアカウントをリンクさせた後、Google OAuthアプリを作成し、「フィッシングメールの全文」を入力したようです。
攻撃者はOAuthアプリにGoogle自身によって署名されたGoogleアカウントへのアクセスを許可します。そこからフィッシングメッセージが被害者に転送され、誰もがそれが本当にGoogleからのものだと思い込むようになります。
ジョンソン氏によると、Google は (当初は意図された動作だと主張していた) グーグルに報告した後、攻撃者が認証されたフィッシングメールを作成できるようにする脆弱性の修正に取り組んでいるという。
フィッシングから身を守る方法
攻撃者はユーザーをフィッシング詐欺に陥れるための新たな手法を常に模索しており、今回のフィッシング攻撃は偽メールを見抜くのがますます困難になっていることを示しています。しかし、悪意のあるメールを回避する方法は常に存在します。
まず第一に、企業から緊急の連絡があった場合、メール内のリンクはクリックしないのが最善です。企業のウェブサイトで最新のアラートを確認し、リンクをクリックするのではなく、URLを自分で入力してウェブサイトにログインしてください。
もう一つの兆候は、メールアドレスやウェブサイトのリンク名にスペルミスがないか確認することです。今回のケースでは、攻撃者がGoogleのドメイン名を一致させていたため、スペルミスを見つけるのは困難でした。しかし、「mailed-by」フィールドが「privateemail.com」から転送されていた点が少し不自然でした。
メールに不審な点がある場合は、必ず矛盾点がないか確認してください。もちろん、見つけにくいものもありますが、優れたウイルス対策ソフトウェアを使用すれば、悪意のある活動が見過ごされるのを防ぐことができます。また、追加の安全対策として、2段階認証を使用することを強くお勧めします。
そのため、Google から本物そっくりのメールが届いた場合は、絶対に避けることをお勧めします。PC のセキュリティ対策を万全にしたい方は、以下の 12 のコンピューターエラーをご覧ください。
Tom's Guideのその他の記事
- 大規模な保険データ侵害で160万人が被害に ― 氏名、住所、社会保障番号などが流出
- Googleは、20年来のChromeのバグにより閲覧履歴が他のウェブサイトに漏れるのをついに阻止する。その方法とは?
- ハッカーが銀行を装い、Androidスマートフォンにクレジットカード窃盗マルウェアを感染させている
ダラーはトムズ・ガイドのコンピューティング・エディターで、テクノロジーの奇妙なものすべてに魅了されています。彼の作品は、Laptop Mag、Mashable、Android Police、Shortlist Dubai、Proton、theBit.nz、ReviewsFireなど、数多くのメディアで見ることができます。最新デバイスやコンピューティング関連の情報をチェックしていない時は、恐ろしいほどの長距離ランニングに出かけたり、ひどいサメ映画を見たり、ゲームをする時間を探したりしています。
