パスワードを忘れた? アカウント作成
13271606 story
Google

Google Docsのドキュメント共有を装ったフィッシング攻撃が発生 20

ストーリー by headless
偽物 部門より
日本時間3日夜、Google Docsを装ってGmailユーザーをターゲットにするフィッシング攻撃キャンペーンが発生したそうだ(Gmail Help Forumの投稿The Vergeの記事The Guardianの記事The Registerの記事)。

攻撃は知人がGoogle Docsでドキュメントを共有したことを知らせる内容のフィッシングメールを通じて拡大していったという。メッセージ内のリンクをクリックするとGoogleの正規のログイン画面が表示され、「Google Docs」にGmailと連絡先へのアクセスを許可するように求められる。

しかし、このGoogle DocsはGoogleとは無関係の攻撃用Webアプリであり、アクセスを許可するとGmailアカウントを通じて連絡先に同様のフィッシングメールを送信するとのこと。

Googleでは攻撃者のアカウントを無効化し、偽ページやアプリの削除、Safe BrowsingやGmailなどの更新といった対策のほか、再発を防止するための対策を行った。攻撃は1時間ほどで食い止められ、影響を受けたGmailユーザーは0.1%未満とのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年05月05日 14時46分 (#3205508)

    「アプリ名とアイコンだけで判断するな。Developoer infoを確認してアプリ開発元のURLであることを確かめろ」って教育しないといけないのか。
    セキュリティ教育でこれをカバーしている組織はほとんどないだろうな。

    • by Anonymous Coward

      OAuth認証をまともに使うには必要な知識じゃないの?

      • by Anonymous Coward on 2017年05月05日 15時55分 (#3205529)

        いつも思うんだが、一般ユーザのリテラシーではOAuthを「まともに」使えないよね。
        片手で数えられる程度のメジャーなところが連携する程度ならまだしも、
        猫も杓子もという原状はOAuthの使いすぎだわ。吉野家コピペみたいな気分になる。

        親コメント
        • by Anonymous Coward on 2017年05月05日 18時32分 (#3205590)

          OAuthできるってことは、Googleなりにアプリ登録してAPIのキーをもらってるわけだから、Googleはその存在を認識はしてる。
          Googleがいくつか信頼できる大手のサードパーティなりをVerifyして専用のマークでもつければわかりやすいかもね。Twitterの認証済みアカウントの印みたいに。
          まぁ一般の人はそんなのあっても気にしないだろうけど。

          親コメント
        • サービスごとにアカウントを作ってパスワードで認証する方が、面倒くさい分、余計なサービスにアカウントを作ってしまうことを防げる(かもしれない)。また、認証に必要な権限以外の余計な権限を与えてしまい、今回の件のように、周りに迷惑をかけることも少ない(かもしれない)。

          ただ、OAuthなら、1つのアカウントで複数のアカウントを管理することが容易だし、いくつものパスワードを使い分ける必要がないので、パスワードの使いまわしや単純なパスワードの使用を避けやすい。

          放置状態のアカウントは、いつの間にかクラックされていて、それを悪用されたり、芋づる式に他のアカウントもクラックされたりする可能性がある。放置状態のアカウントがないと言い切れないなら、OAuthを使った方が良いと思う。

          でも、まあ、OAuthを使うにしてもリテラシーが必要と言うことには同意する。

  • by Anonymous Coward on 2017年05月05日 13時55分 (#3205487)

    Googleの正規のログイン画面が表示されるのに、phishgingというのかしら。
    話がどうもよくわからん。

    • by Anonymous Coward on 2017年05月05日 15時38分 (#3205521)

      > Googleの正規のログイン画面が表示されるのに、phishgingというのかしら。
      > 話がどうもよくわからん。

      この辺が分かりやすい

      http://www.appbank.net/2017/05/04/iphone-application/1341135.php [appbank.net]

      仕組みとしては、もともとはGoogleアカウントに対する操作ができるサードパーティアプリの許可設定をするため

      (例)
      ・「Thunderbird」 が 「メールの送受信ができます」 許可しますか?YES/NO

      などとなるところで、

      ・「GoogleDocs」 が 「アドレス帳の管理とメールの送受信ができます」 許可しますか?YES/NO

      となるように「GoogleDocs」という名前の悪意あるアプリと、それが使う権限や注釈を書いてGoogle上に登録しておく

      で、この
      「GoogleDocsという名前の悪意あるアプリに権限を付与するためのWebページへのURL」

      「GoogleDocsでドキュメントが共有されました」
      という内容のメールを
      URL部分だけ改ざんして大量送信する

      引っかかると「GoogleDocsという名前の悪意あるアプリ」にGoogleアカウント上のアドレス帳とメールの操作権限が渡される

      同じようなことはGoogle以外のサービスでも可能なので、抜本的に対策しようとすると結構大変
      同じことがすでに行われてるGoogle以外のサービスもあるんじゃないかな

      親コメント
      • by Anonymous Coward

        >抜本的に対策しようとすると結構大変
        だから見て見ぬふりをしていた、というわけでもないんだろうけど
        https://it.slashdot.org/story/17/05/04/218210/google-was-warned-about-... [slashdot.org]
        何年も放置していたのはまずかったですねぇ。

      • by Anonymous Coward

        15年くらい前に流行った、ActiveXのダイアログに「年齢認証」と表示するやつのWebアプリ版ってことね。歴史は繰り返す

    • by Anonymous Coward

      IDとパスワードを盗み取らなくても、同等の権限を盗み取る、という意味ではいいんじゃなかろうか。
      まぁ、そもそもGmailの権限わたしたら終わりだけどさ。
      AmazonでもAppleでも、なんでもアカウント乗っ取られる。

      自分は基本的にどんなアプリにもメールと連絡先の権限は渡さないことにしてるから引っかからない。

      • by Anonymous Coward on 2017年05月05日 15時43分 (#3205522)

        > 自分は基本的にどんなアプリにもメールと連絡先の権限は渡さないことにしてる

        Thunderbirdさんがニコニコしながらあなたを見ている
        どうしますか?

        あと気づいてない人が多いけど
        iPhoneでGmailアプリやGoogleカレンダーアプリなどを使えるように設定すると
        今回問題になっている権限の付与でいくつかが「iOS」に渡される

        親コメント
  • by Anonymous Coward on 2017年05月05日 16時30分 (#3205536)

    Gmailとかだと0.1%未満っていっても結構な数になりそう.
    具体的な規模はどれくらいだったんでしょうね.

    • by Anonymous Coward on 2017年05月05日 20時03分 (#3205620)

      10億以上はいるみたいです。ってことは0.1%でも100万人かな
      https://www.digitaltrends.com/web/gmail-joins-the-billion-users-club/ [digitaltrends.com]
      パーセンテージで規模を小さく見せようとしないで、実数を出せばいいのに。

      親コメント
    • by Anonymous Coward

      > Gmailとかだと0.1%未満っていっても結構な数になりそう.
      > 具体的な規模はどれくらいだったんでしょうね.

      まず、「0.1%未満」であって 0.1%ではありません
      おそらくGoogleが急いで調べるために使っている社内ツールの有効桁数が0.1(%)の位までしかないのでしょう
      実際にはそれよりも確実に少ないということになります

      また、「影響を受けた」には「このメールを受信した」Googleアカウントをすべて計上しているでしょうね

      • by Anonymous Coward

        カウントする方が割合を計算するより簡単じゃない?

        それともサンプリングしているのかな?

  • by Anonymous Coward on 2017年05月05日 16時34分 (#3205539)

    > and our abuse team is working to prevent this kind of spoofing from happening again

    (現在進行形)だから再発防止は対策中なんじゃないですかね。

    それにしても

    > If you think you clicked on a fraudulent email, visit g.co/SecurityCheckup [g.co] and remove apps you don't recognize.

    このクリックしてはいけないリンクの見本みたいなのは何かのジョークなんですか?

    • by Anonymous Coward

      「このテキーラはサービスだから、まず飲んで落ち着いて欲しい。」
      と表示されそうだな

  • by Anonymous Coward on 2017年05月06日 0時00分 (#3205692)

    冗談抜きで3ナンバーの軽自動車の普及を模索しているようです

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...