セキュリティ研究者が、「Google Apps」の管理コンソールに脆弱性が存在していたことを明らかにした。本来所有していないドメインからの正規の電子メールを装ったメッセージの送信が可能になるというもの。
Security Weekの報道によれば、Patrik Fehrenbach氏とBehrouz Sadeghipour氏は2月、企業が「Google Apps」の管理に使用するGoogle管理コンソールで、ドメインを登録し、身元をなりすまして電子メールを送信できるセキュリティホールを発見した。
Fehrenbach氏とSadeghipour氏は、このセキュリティホールについて説明するデモの中で、Googleが所有するドメインであるytimg.comとgstatic.comを例として使用してみせた。これらのドメインは、GoogleがYouTube関連で使用しているものだ。
ブログ記事とその記事に掲載されている動画で使われているデモでは、これらのドメインから発信されたものを装った電子メールが発信されており、その発信元アドレスには「admin@ytimg.com」と「admin@gstatic.com」も含まれていた。
通常、別のサーバから発信元をなりすました電子メールを送信しようとすると、Googleはそのメッセージを認識し、ユーザーに対してそのメッセージが偽物の可能性があることを警告する。ところが、Google管理コンソールにそのドメインの所有者であると偽って登録して、管理コンソールからなりすましメールを送信すると、受信者には警告が表示されない。このため、そのなりすまし電子メールは信頼できる発信元から来たものだと誤解されてしまう可能性が高い。
攻撃者はこの脆弱性を使用して、信頼できるサーバから発信された、正規の電子メールを装ってメッセージを送信できる。この場合、そのメールには疑わしいことを示す痕跡は一切残らない。
両氏はこのセキュリティホールをGoogleに報告し、同社は管理コンソールからのメールの発信元アドレスをapps-noreply@google.comに変更することでこの問題に対応した。公表された情報によれば、両氏はこの報告に対し500ドルの報酬を受け取っている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。