ニュース

Google、「Gmail」のフィッシング保護を「ドキュメント」、「スライド」、「スプレッドシート」に拡大

FIDO方式のハードウェア認証を推進し中間者攻撃を防ぐ取り組みを強化

「Google I/O 2022」。「Gmail」にて提供されているフィッシング保護機能を「Google ドキュメント」、「スライド」、「スプレッドシート」に拡大すると発表

 実在する企業やサービスになりすましたメールから、不正なWebサイトに誘導して個人情報やアカウント情報を窃取する「フィッシング詐欺」。近年では、クラウド内の共有ドキュメントで新たな攻撃パターンが生まれる傾向にあるという。

【Google Keynote (Google I/O ‘22)】
「Google I/O 2022」基調講演。セキュリティ関連は53:08から

フィッシング保護機能の対象を文書ファイルに拡大

 これを受けて、米Googleは5月11日(現地時間)、開発者向けイベント「Google I/O」において、「Gmail」にて提供されているフィッシング保護機能を「Google ドキュメント」、「スライド」、「スプレッドシート」に拡大すると発表した。ユーザーがアクセスしているファイルにフィッシング詐欺の疑わしいリンクが含まれる場合、自動的にアラートが表示されるようになる。実装時期は2022年後半を予定。

「Gmail」におけるスパムメール・フィッシングメールへの警告表示

フィッシングによるアカウント乗っ取りを防ぐ取り組み

 また、Googleはアカウント保護に有用な「2段階認証プロセス(2SV)」の自動登録・有効化も継続して推奨していくとのこと。ハッカーによるアカウント乗っ取りを防ぐためのセキュリティ対策を強化していくとともに、同社が将来的な実現目標として掲げる、あらゆるプラットフォーム・アプリでの「パスワードのない未来(A future without passwords)」に向けた取り組みを拡大させている。

Googleが継続して推奨する「2段階認証プロセス」
昨年2021年だけでも、1億5,000万ものアカウントが「2段階認証プロセス」への自動登録を行なった

 「Google Security Blog」では、同社が今日までに取り組んできたフィッシング対策の詳細を解説している。

中間者攻撃を使った2段階認証の突破に対する防御

 昨今のフィッシングでは、まず中間者攻撃を使ってユーザーを偽の2段階認証ページへ誘導して、ユーザーが入力したユーザー名とパスワードを間髪入れず本物のサイトへ中継。同時に偽のSMSを送って、本物のサイトからユーザーへ送られてきたワンタイムパスワードを返信するように要求する。最終的にユーザーがSMSで送信したワンタイムパスワードを搾取、本物のサイトへ中継することでアカウントを盗むという。

フィッシングメールの例。画像左がGoogleからの正規のSMS。右が確認コードを求めるなりすましメッセージ

 これに対し、Googleは以下のような対策を行なってきた。

  • 本物のWebサイトを識別できるようにWebブラウザーのユーザーインターフェイスを改善
  • パスワードマネージャーでログイン前にWebページのIDを検証
  • メールとWebブラウザーでフィッシングサイトを警告
  • 中間者攻撃をブロックするため、アプリの組み込みブラウザーを使った自動ログインを禁止
  • 「FIDO」方式の物理セキュリティキーやBluetooth接続機器を使った認証
  • ユーザーが疑わしいサインインの試行を認識するため、フィッシングを防止する追加手順を要求する「Google Prompt challenge」の強化

さらなる対策が進められている

 中でもGoogleは、「FIDO」ハードウェアを使った認証の強化に力を入れている。セキュリティキーでは普及に限界があるため、今後数カ月で、スマートフォンに組み込んでBluetoothを介して認証する技術の展開を加速する。

 また、既存のプロンプトを使ってログインする際の課題を解決する実験も前進させている。例えば、ログインしようとしているPCと同一のWi-Fiに接続しているスマートフォンの接続を要求したり、フィッシング詐欺師とGoogleが認識しているPCからのログインがあった際に、より目立つ警告を表示するといった取り組みが行なわれている。

 これらの取り組みは段階的に展開されており、リスクが高いと思われるユーザーや、何らかの異常が検知されたユーザーから適用されるという。Googleは、FIDO2認証がより広く普及すれば中間者攻撃を防ぎ、ユーザーをフィッシング詐欺から守ることができるとしている。