Google公式を偽装した巧妙なフィッシングメール。絶対開いちゃダメ
どんどん巧妙化するフィッシングメール。どうやって防げばいいの…。
日々進化を続けるAIと同様に、詐欺の手法も日に日に高度化していて、巧妙なメールにユーザーが騙されています。Google(グーグル)はGmailユーザーが攻撃を受けていることを先日認め、ハッカーたちがGoogleのメール認証を回避し、Googleインフラへの信頼を利用していることを明らかにしました。今回のケースによって、これまで以上の対策がどうやら必要になりそうなんです。
公式から届くフィッシングメール
Googleから届くセキュリティアラートと題されたメールを受信したことがある人も多いはず。Google自身のメール認証保護をパスしているのであれば、誰だって「これは信頼できる」と思うはずです。しかし、その判断はこれから大間違いな常識になってしまいました。
Recently I was targeted by an extremely sophisticated phishing attack, and I want to highlight it here. It exploits a vulnerability in Google's infrastructure, and given their refusal to fix it, we're likely to see it a lot more. Here's the email I got: pic.twitter.com/tScmxj3um6
— nick.eth (@nicksdjohnson) April 16, 2025
2025年4月16日、Xの投稿によって初めてこの脅威が明らかになりました。投稿者はソフトウェア開発者のニック・ジョンソン氏で、彼はGoogleから次のようなセキュリティアラートメールを受け取ったと報告しています(翻訳・強調は筆者による)。
最近、私は非常に巧妙なフィッシング攻撃のターゲットにされました。ここでそれを紹介し、警鐘を鳴らしたいと思います。
この攻撃はGoogleインフラの脆弱性を悪用しており、Googleがこれを修正していないので、今後さらに多発しそうです。
これが私が受け取ったメールです:
メールには、詳細を確認するか、異議申立を行なうためにリンクをクリックするよう記載されていました。この内容だけを聞くと単なるフィッシングメールかと思うかもしれません。
しかし、今回の件は異なります。このメールはGoogleによって検証、署名されたメールとして届き、[email protected] という本物のアドレスから送信されていたんです。Gmailが採用しているという厳格な認証チェックを通過し、他の正規のセキュリティアラートと同じスレッド内に整理されていました。
そのリンク先は、当然ながら悪意あるクローンサイトでしたが、そのニセのGoogleサポートページはsites.google.com上にホスティングされていました。つまり、見た目は完全に本物そっくりであり、accounts.google.comではないことに気づかない限り、多くの人が信じてしまう設計となっていました。これは正直なんとなく読んでいたら防ぎきれない…。
このフィッシングメールに引っかかってしまうと、Googleアカウントへのアクセス権を失い、ハッカーたちはあなたのGmailアカウントと、そのすべてのデータにアクセスできるようになってしまいます。
Google側の対策は?
Googleは、2024年4月1日より、Gmailメッセージにおいて厳格な大量送信者認証コンプライアンス要件を導入しました。これは悪意のある認証されていないメール(マルウェア付き)の防止を目的としています。Microsoft(マイクロソフト)もこれに続き、Outlookユーザー向けに5月5日から同様の施策を導入する予定です。ここで重要となるのが以下の3つの技術です。
・DomainKeys Identified Mail(DKIM):メールメッセージに付与されたハッシュ値のヘッダーを使用して、それを秘密鍵で暗号化することで、ドメインのなりすましを容易にできないようにする技術です。
・Sender Policy Framework(SPF):特定のドメインから送信されていると主張するメールが、本当にそのドメイン管理者によって認可されたものかどうかを、ドメインネームシステム(DNS)レコードに基づいて判定する仕組みです。
・Domain-based Message Authentication, Reporting & Conformance(DMARC) :SPFとDKIMの認証レコードが正しく一致しているかをチェックし、対象となるメールを「受信箱に入れる」「迷惑メールフォルダに送る」「送信元にバウンスバック(拒否)する」などの処理を決定します。
これらの技術は、見ているメールが本物かどうか、ブランドやドメインを偽装されていないかを保証するために存在しています。しかし、今回の攻撃は、Gmailのこれら防御策を巧妙に回避する手法をハッカーが見つけたということを示しています。
それでもこれらの認証技術を使うことで効果は見込めます。ユーザーの安全性を高めるためには、やはりメールの認証が重要です。2024年だけで8万5000件以上のニセGoogle関連URLが発見されたという報告が確認されており、Google、Meta、Microsoftが最も多くなりすまし対象になっていると指摘されています。
いつでも強固な多要素認証(MFA)を
Googleは今回の攻撃者による特定の脅威を封じるために、新たな保護対策を展開中であると発表しています。「この脆弱性はまもなく封鎖されるでしょう」と広報担当者は述べています。それまでの間、Googleはユーザーに対して…
・2要素認証を有効にすること
・Gmailへのログインにパスキーを使用すること
…を推奨しています。この設定はフィッシング詐欺を防ぐことにつながります。Tanium社のセキュリティリサーチ責任者メリッサ・ビショップ氏は次のように説明しています。
一部は新しい手口ですが、ビジネスサービスやユーティリティの信頼を悪用する攻撃はこれまでも存在し、今後も繰り返される。
今後も、例え送信元がGoogleであっても、警告メールには細心の注意を払うべきです。
セキュリティ教育は、脅威の進化に応じて常にアップデートされるべきであり、常に堅牢な多要素認証(MFA)を導入すべきです。 なぜなら資格情報の窃取と悪用は、今後も攻撃者にとって魅力的なターゲットであり続けるからです。
これからもさらにユーザーを騙すために、ハッカーたちはあの手この手で対策を乗り越えてくるはずです。ユーザー側は「ドメイン名だけで判断せず、慎重な確認が必要だ」ということを頭に留めて、常に注意していかなければいけません。明日は我が身かもしれないので。
