Googleは、フィッシング攻撃を発見しやすくするために、「Googleドキュメント」のコメント通知の方法を変更した。
「Google Workspace」のアプリケーションの1つであるGoogleドキュメントには、生産性ソフトウェアをモダナイズするため、「@」記号を使って特定のユーザーにコメントを送る機能(「@メンション」とも呼ばれる)のようなコラボレーション機能が追加されている。しかし、米ZDNetのJonathan Greig記者が1月に報じたように、攻撃者がこの機能を悪用し、Googleドキュメントの@メンション機能を使って標的の受信トレイに電子メールを送る事例が出ていた。
この攻撃では、標的とする相手の名前に@をつけてコメントを行うと、相手の受信トレイに自動的に電子メールが送信される仕組みを利用する。この電子メールの発信者はGoogleになっており、文面にはコメントの内容がすべて記載されるが、そこには悪質なリンクやテキストが含まれている可能性がある。
セキュリティ企業のAvananが指摘していたように、大きな問題は、@メンション機能によって送られた電子メールに記載されているのがコメント投稿者の名前だけで、電子メールアドレスは記載されていないことだった。コメント投稿者の電子メールアドレスが分からないため、受信者が知っている信頼できる人物になりすまして標的をだますのが容易になっていた。
Googleは今回のアップデートで、この手口を使ったフィッシング攻撃への対策として、Googleから送信する電子メールを作成する際に、@メンションを使ってコメントした人の電子メールアドレスをメール通知に追加している。
Google Workspace Updatesのブログで、「Google Workspaceのドキュメントで、誰かがコメントであなたをメンションした際に、われわれはコメントとコメントした人の名前とともにメール通知を送る。このアップデートで、コメントした人の電子メールアドレスをメール通知に追加している」と説明されている。
Googleは、「悪質なアクターがスパムやフィッシングを仕掛けようとしたのではなく、正当な通知を受信しているとユーザーが確信を高められるようにしたい」としている。
この変更は大きなものではないが、「Gmail」のユーザーだけでなく、Microsoftの「Outlook」を使っているユーザーにとっても有用だ。Avananによれば、コメント内容を通知する自動生成メールを利用したフィッシング攻撃の多くは、Outlookユーザーを標的としたものだという。Googleは一般に信頼できるものであるため、Googleから送信される電子メールは、電子メールのフィルタリングシステムを回避できるようになっていた場合がある。
このアップデートは、Google Workspaceの全ユーザー、旧「G Suite Basic」「G Suite Business」のユーザー、個人の「Googleアカウント」を持つユーザーが利用可能になっている。
またGoogleは、Workspaceからの情報漏えいに対抗するためのアップデートを行っている。Workspaceの管理者は、「Googleドライブ」の監査ログで、組織の内部とともに、外部組織が関与するイベントも確認できるようになった。
Googleドライブの監査ログには、ユーザーが「ドキュメント」「スプレッドシート」「スライド」で作成したコンテンツなどの情報が含まれている。
Googleはこの機能に関するサポートページを更新し、「イベントの中には、外部のドメインが関わっているものがある。例えば、ユーザーがファイルを別のドメインにコピーした場合がこれに当たる。これらのイベントの一部では、ご利用のドメインと外部ドメインの両方がドライブ監査ログで報告される。外部のドキュメントの名前は監査ログのエントリーには含まれない」という記載を追加している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
