Google は水曜日の巧妙な電子メール フィッシング詐欺を阻止したが、攻撃が再び起こる可能性は十分にある。
Google がユーザーをそのような攻撃から守ろうとしているにもかかわらず、あるセキュリティ研究者はすでにこの脆弱性を再現することに成功している。
「オリジナルの偽物と全く同じように見えます」とコントラスト・セキュリティーのセキュリティ調査ディレクター、マット・オースティン氏は語った。
100 万人の Gmail ユーザーに広まった可能性のあるこのフィッシング詐欺は、Google ドキュメントに似たダミーのアプリでユーザーを騙すという点で特に効果的です。
メールを受け取った受信者は、「ドキュメントで開く」と書かれた青いボックスをクリックするよう促されました。クリックすると、実際のGoogleアカウントページに移動し、Gmailへのアクセスをダミーアプリに引き渡すよう求められました。
偽装メールでユーザーを騙すのは目新しいことではありませんが、水曜日の攻撃では、実際のGoogleプロセスで作成されたサードパーティ製アプリが実際に利用されました。同社の開発者プラットフォームは、誰でもウェブベースのアプリを作成できる環境を提供しています。
この場合、犯人はユーザーを騙すためにアプリに「Google Docs」という名前を付けました。
Googleはアプリを削除することで攻撃を阻止しました。また、他の開発者に対し、サードパーティ製アプリの名称に「Google」を使用することを禁止しました。
しかし、オースティン氏は水曜日のフィッシング詐欺を再現できることを発見した。彼はGoogleの開発者プラットフォームを利用して独自のサードパーティ製アプリを作成し、「Google Docs」と名付けた。
マイケル・カン セキュリティ研究者のマット・オースティン氏はキリル文字を使って水曜日のフィッシング攻撃を再現した。
唯一の違いは、オースティンがアプリ名の「o」の文字に、ロシアで使用されているキリル文字を使用したことです。
「キリル文字の『o』は他の『o』と全く同じように見えます」とオースティン氏は述べた。その後、彼は水曜日の攻撃の残りの部分を再現し、同じデザインのインターフェースを使った偽のメールを作成した。
オースティン氏はこのセキュリティ問題をGoogleに報告しており、現在Googleの開発者プラットフォームではこの名前のアプリは受け付けられていない。しかし、オースティン氏をはじめとするセキュリティ専門家は、水曜日の攻撃を再現しようとする悪意ある人物もいると予測している。
「このようなことが再び繰り返されることは間違いありません」と、セキュリティプロバイダーであるシスコ・クラウドロック・サイバーラボのディレクター、アイセ・カヤ氏は述べた。「おそらく、もっと頻繁に起こるでしょう。」
従来型のフィッシングメールの手口は、ユーザーを騙してログイン認証情報を入手させることで攻撃を仕掛けるものです。しかし、水曜日に発生した攻撃は異なるアプローチを採用し、インターネットアカウントをサードパーティのアプリケーションに連携させるための便利な方法であるOAuthプロトコルを悪用しています。
OAuthを利用することで、ユーザーはパスワード情報を渡す必要がなくなります。代わりに、Google、Facebook、Twitterなどのサードパーティ製アプリが自分のインターネットアカウントに接続できるように許可を与えることになります。
しかし、他のテクノロジーと同様に、OAuthも悪用される可能性があります。2011年には、ある開発者が、このプロトコルがGoogleサービスを偽装したアプリによるフィッシング攻撃に悪用される可能性があると警告していました。
それでも、OAuthはIT全体で広く使用される標準規格となっています。CloudLockの調査によると、Google、Facebook、Microsoft Office 365などのサービスを通じて、27万6000以上のアプリがこのプロトコルを使用しています。
企業のOAuth導入を支援するITコンサルタント、アーロン・パレッキ氏は、水曜日のフィッシング詐欺を助長したのは、Google自身のサービスが、それが疑わしい開発者からのものであることを十分に指摘しなかったことだと述べた。
たとえば、ダミーの Google Docs アプリは [email protected] の開発者に登録されていましたが、これは製品が本物ではないことを示す危険信号でした。
しかし、ダミーアプリは依然としてユーザーを騙すことができた。なぜなら、ユーザーがページをクリックして確認しない限り、Google 自身のアカウント許可ページには開発者の情報が明確に記載されていなかったからだ、とパレッキ氏は述べた。
雲のロック 偽の Google ドキュメント アプリの開発者は、製品情報の上にマウスを置いた場合にのみ表示されます。
「Googleがこれらのアプリでユーザー識別情報をほとんど表示しなかったことに驚きました」と彼は言った。「何が問題になるかを示す好例です。」
こうした詳細を隠すのではなく、すべてをユーザーに公開すべきだとパレッキ氏は述べた。
オースティン氏もこれに同意し、Gmail への許可を求めるアプリには、ユーザーが何を渡しているのかについてもっと明白な警告を含めるべきだと述べた。
「私はまだOAuthを嫌う立場にはいません。確かに価値はあると思っています」とオースティン氏は述べた。「しかし、リスクもいくつかあります。」
幸いなことに、Googleは水曜日の攻撃を迅速に阻止し、再発防止のための「不正利用防止システム」を導入しました。被害を受けた可能性のあるユーザーは、Googleセキュリティ診断を利用して、自分のアカウントに紐付けられているアプリを確認することができます。
同社のGmail Androidアプリでは、フィッシングの可能性があるとユーザーに警告する新しいセキュリティ機能も導入されている。
アプリをインストールしたら安全だと思い込みがちですが、ユーザーと企業はアカウントをサードパーティ製アプリにリンクさせる際には注意が必要です。サードパーティ製アプリは必要以上のアクセスを要求する可能性があると、Cloudlockのカヤ氏は述べています。
「ハッカーはこの攻撃を悪用する上で有利な立場にあります」と彼女は述べた。「すべての企業がこの件について考える必要があります。」
