今日(米国時間5/3)の午後早い時間に、Google DocsとGmailのユーザーをねらう新種のフィッシング攻撃が現れ、急激に広まった。巧妙に偽装されたGoogleのURLをクリックすると、謎の犯人は被害者のGmailをすべて読めるようになり、そしてそのフィッシング攻撃を、被害者がこれまでメールを送った全員に転送する。
犯行は単純だけど悪質だ。あなたに以前メールを送ってきたことのある人、その人の連絡先リストにあなたも載っている人から、メールが来る。それは、あなたとの“共有ドキュメント”になっている。ボタンをクリックしてそのドキュメントを開くと、一見無害なページが現れる…URLを見るとGoogleがホストしているページだ。パスワードは要求されないが、そこにはすでにあなたのアカウント情報がすべて載っている。そのページは、“Google Docs”アプリケーションにあなたのメールと連絡先を読む許可を与えてください、と求めている。
しかし: その“Google Docs”アプリケーションは実際にはGoogle Docsではなく、そのように見せかけているだけだ。
ほかのチェックボックスはどれも正しいから、疑り深い人でも信じてしまう。でも、“allow”をクリックした途端、万事休す!…謎の犯人はあなたの受信トレイにアクセスして、そのクリックベイトを、あなたの連絡先リストの全員に転送する。
Googleによると、その攻撃はすでに撃退したし、“再犯を防ぐ努力をしている”そうだ。
Google Docsは、こんなツイートをポストした:
[フィッシングメールに関するGoogleの公式声明: Google Docsを偽装するメールからユーザーを保護する措置を講じました。犯人のアカウントを無効にしました。偽装ページを削除し、アップデートをSafe Browsingと弊社の対策チームにプッシュしました。この種のなりすましの再発を防ぐ措置を講じております。Gmailでフィッシングメールを受信された方は、ぜひGoogleにご一報ください。]
今回の特定の攻撃に限っては、Googleの努力で停止した、ということだ。でも、類似犯が今後続発する可能性もある。Googleは今、この犯行のタイプ(コンセプト)そのものをブロックする努力をしている。でも、それが実現するまでは、知らない人や会社などからのGoogle Docsの共有リクエストには、十分に注意しよう。