Googleドキュメントを利用したフィッシングが数時間前に発見された。感染が急速に拡大しつつあるので十分な注意が必要だ。Googleも対策を取ろうしているが、とりあえずGoogleドキュメントへの招待にはスーパー警戒して欲しい。このフィッシングにひっかかると(他の点では非常に注意深いユーザーが大勢ひっかかっている)連絡先リストに載っている全員に偽の招待が送信されてしまう。
現在判明しているのは以下のような点だ。
- メールの招待リンクをクリックすると本当にGoogleが管理しているページに飛び、Googleアカウントのリストが表示される。
- アカウントを選択すると“Google Docs”という名前のアプリが表示される。フィッシング側はどういう方法でか偽アプリに“Google Docs”という名前をつけることに成功したらしい。アカウントの許可を求めてくる。
- ユーザーが“ALLOW”ボタンをクリックすると同時に、偽Google Docsはユーザーのメールを読む権限が与えられる。フィッシング側はユーザーが過去に一度でもメールを送った相手に偽の招待を送り始め、フィッシングを拡散しようとする。
“Google Docs”のリンク先は実際にGoogleがホストしているのでたいへん巧妙な手口だ。予めこの手口を知っているのでなければ事前にフィッシングに気づくのは不可能に近い。
Hack ClubのZach Lattaがトリックが作動するもようを下のビデオに記録しているので読者諸氏は自分でテストするには及ばない。
感染しているか知るには? 感染していたらどうすればよい?
Googleのアカウントに接続しているアプリのパーミッションをチェックしよう。“Google Docs”という名前のアプリがあってはならない。本物のGoogle Docsはアプリではない。本物はデフォールトでユーザーのアカウントにアクセスする権限を持っている。“Google Docs”というアプリがあったらクリックして「削除」ボタンを押して削除すること。
アップデート: 本物のGoogle Docsのツイッターがフィッシング攻撃が行われていることを認め、対策が取られるまで偽のメールを受け取ってもURLを「クリックしないよう」注意を呼びかけている。
取材続行中…
[原文へ]
(翻訳:滑川海彦@Facebook Google+)
