編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

「Google Apps」管理コンソールになりすましメールを可能にする脆弱性--対応済み

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2015-03-10 10:18

 セキュリティ研究者が、「Google Apps」の管理コンソールに脆弱性が存在していたことを明らかにした。本来所有していないドメインからの正規の電子メールを装ったメッセージの送信が可能になるというもの。

 Security Weekの報道によれば、Patrik Fehrenbach氏とBehrouz Sadeghipour氏は2月、企業が「Google Apps」の管理に使用するGoogle管理コンソールで、ドメインを登録し、身元をなりすまして電子メールを送信できるセキュリティホールを発見した。

 Fehrenbach氏とSadeghipour氏は、このセキュリティホールについて説明するデモの中で、Googleが所有するドメインであるytimg.comとgstatic.comを例として使用してみせた。これらのドメインは、GoogleがYouTube関連で使用しているものだ。

 ブログ記事とその記事に掲載されている動画で使われているデモでは、これらのドメインから発信されたものを装った電子メールが発信されており、その発信元アドレスには「admin@ytimg.com」と「admin@gstatic.com」も含まれていた。

 通常、別のサーバから発信元をなりすました電子メールを送信しようとすると、Googleはそのメッセージを認識し、ユーザーに対してそのメッセージが偽物の可能性があることを警告する。ところが、Google管理コンソールにそのドメインの所有者であると偽って登録して、管理コンソールからなりすましメールを送信すると、受信者には警告が表示されない。このため、そのなりすまし電子メールは信頼できる発信元から来たものだと誤解されてしまう可能性が高い。

 攻撃者はこの脆弱性を使用して、信頼できるサーバから発信された、正規の電子メールを装ってメッセージを送信できる。この場合、そのメールには疑わしいことを示す痕跡は一切残らない。

 両氏はこのセキュリティホールをGoogleに報告し、同社は管理コンソールからのメールの発信元アドレスをapps-noreply@google.comに変更することでこの問題に対応した。公表された情報によれば、両氏はこの報告に対し500ドルの報酬を受け取っている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    AI導入に立ちはだかる「データ」「複雑さ」「コスト」「人材」の壁をどう乗り切ればいいのか?

  2. クラウドコンピューティング

    【IDC調査】2026年には75%のアプリがAIを実装!導入で遅れた企業はどう“逆転”すべきか?

  3. 運用管理

    経産省調査で明らかに:未だにレガシーシステムを抱える企業が8割!オープン化でよくある課題とは?

  4. 運用管理

    AWS東京リージョンの大規模障害に学ぶ、パブリッククラウド上のシステムの迅速な復旧方法

  5. windows-server

    【ユースケース】ソフトウェア開発にDell EMCインフラ+コンテナを使うメリット

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]