編集部からのお知らせ
PDF Report at ZDNet:「ドローン活用」
「ニューノーマル」に関する新着記事一覧

グーグル、ウェブアプリのチェック強化--偽「Google Docs」によるフィッシング対策

Liam Tung (ZDNet.com) 翻訳校正: 編集部

2017-05-16 12:02

 Googleは米国時間5月11日、偽の「Google Docs」アプリを用いたフィッシング攻撃が繰り返されないよう、ウェブアプリの公開に向けた承認プロセスを見直すと発表した。この攻撃は、同社の認証システムに寄せられているユーザーの信頼を悪用するものだ。

Google アプリ フィッシング対策
提供:Getty Images

 同社はウェブアプリの開発者に向け、新たな規則の導入とリスクアセスメントの追加によって、アプリの公開プロセスに「ある種の遅延」が発生する可能性があると警告している。

 ユーザーデータを要求するアプリは今後、手作業でのレビュープロセスが必要となり、Googleのサインインサービス内でユーザーによる権限の承認が可能になるまで最長で7日間かかる可能性がある。

 同社はブログで、開発者向けの新たな認証ガイドラインを解説するとともに、「レビューが完了するまで、ユーザーはデータ権限を承認することができない。また、(それまでは)権限の承諾ページではなく、エラーメッセージが表示される」と記している。

 また、「アプリを公開するためのテストフェーズ中にレビューを要求することができる。われわれはこういったレビューを3〜7営業日で処理するよう努める。将来的には、登録フェーズ中にもレビュー要求を可能にするつもりだ」とも記している。

 偽のGoogle Docsを用いたフィッシング攻撃は、GoogleのOAuthログインページを悪用していた。OAuthログインページは、サードパーティーのアプリが電子メールの受信や送信、削除、管理といった、「Gmail」のさまざまな権限へのアクセスを要求できるようにするものだ。

 今回発見されたフィッシング攻撃では、攻撃者が偽のGoogle Docsアプリを作成し、受信者をだまして、Googleが用意している本物のログインページ経由で承認を得ていた。その後、同アプリは被害者が登録している連絡先に同じフィッシングメールを送信することで拡散するようになっていた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    AWSが提唱する、モダン分析プラットフォームのアーキテクチャと構築手法

  2. クラウドコンピューティング

    AWS資料、ジョブに特化した目的別データベースを選定するためのガイド

  3. ビジネスアプリケーション

    進化を遂げるパーソナライゼーション、企業に求められる変革とは

  4. クラウド基盤

    【事例】機器の老朽化・陳腐化、ストレージ運用の属人化…複数課題を一気に解決したカプコン

  5. セキュリティ

    「日経225銘柄」企業の現状から読み解く、インターネットアクセスにおける業種別の弱点とは?

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]