Googleからセキュリティ警告のメールが送られてきて、その内容がどれだけ本物らしく見えたとしても、決してそこに書かれている指示に従ってはいけません。
詐欺師が、Googleの認証プロトコルの脆弱性を悪用して、フィッシングメッセージを送りつけている事例が報告されているからです。
こうしたメッセージはパッと見、本物に見えるので、信じ込んでしまい、ユーザーがアカウント認証情報を盗まれてしまう危険性があります。
では、こうした詐欺メッセージから身を守る方法を説明しましょう。
Android Authorityの記事によれば、開発者のNick Johnson氏が「Security alert(セキュリティ警告)」というタイトルのフィッシングメールを受け取ったと報告しています。
[no-reply@accounts.google.com]というアドレスから送信されており、「accounts.google.com」による署名もついています。
これを見ると、本当にGoogleから送られてきたメールのように思えます。
しかし、このメッセージは「sites.google.com」でホスティングされている偽のGoogleサポートページにユーザーを誘導します。
そしてこの偽ページは、「追加ドキュメントをアップロード」あるいは「問題の事例を見る」よう訪問者に指示します。
ここからユーザーは、最終的に偽のサインインページに導かれ、アカウント認証情報を入力するよう促されます。詐欺師たちはここで、標的にしたユーザーのGoogleログイン情報を収集するわけです。
このフィッシング詐欺の標的となったJohnson氏によれば、この詐欺はいくつかの脆弱性を悪用しているようです。
まず、Googleでは「Googleサイト」経由で、ユーザーが「google.com」のサブドメインで独自のサイトをホスティングできるサービスを提供しています。
偽のウェブサイトはこのサービスを利用しているため、Google本体のサイトのように見えてしまうのです。
攻撃を仕掛ける詐欺師は、登録したドメインをGoogleアカウントとリンク。それからGoogle OAuthアプリを作り、送信元に見せかけたいメールアドレスをアプリ名に変更するんです。
OAuthがGoogleアカウントへのアクセス権を手に入れると、Googleによって署名されたメールが、標的となったユーザーのところに転送されます。
ここで注意すべきポイントは、メール自体は「accounts.google.com」によって署名されているものの、実際のメールは、攻撃者が用いている「privateemail.com」から送信されたメールを転送したものだ、という点です。
とはいえ「公式のメールアドレスから送られてきたように見えるが、実はフィッシングメールだった」という手口が使われたのは、これがはじめてではありません。
そして、送られてきたメールが偽物だと一般ユーザーが見抜くのは、より一層難しくなっています。
2025年に入ってからも、詐欺師がPayPalの設定を悪用して、「service@paypal.com」というアドレスから偽りの購入通知を送った事例がありました。
送られてきたメールが詐欺であることを示す、もっとも一般的な兆候は送信元メールアドレスのスペルミスです。
逆に、フィッシングメールが実在する、あるいは少なくとも表面上は公式のように見えるアドレスから送られている場合、気づくのがより一層難しくなります。
一般的に、緊急性を煽るものや、不安や焦りを煽って行動を促すメッセージの場合は、たとえ本物のように見えたとしても、すぐに行動せず、立ち止まって確認することが重要です。
では、こうしたメールの送信元が、あなたが利用しているサービスを提供する見知った会社の場合、どう対応すればいいでしょうか?
メッセージの内容に違和感がなかったとしても、メッセージ内のリンクをクリックしたり、添付資料をダウンロードしたりするのは禁物です。
この場合は、自分でURLを入力して、直接その会社の公式Webサイトにアクセスしてみましょう。
加えて、その会社の公式ソーシャルメディアアカウントやカスタマーサービスチャネルをチェックして、自分が受け取ったメッセージに関係するアラートがないか確認してください。
特に、送られてきたメールがアカウントのセキュリティやリカバリ方法、あなたの個人情報に関わる内容の時は、必ずこの確認を行ってください。
Source: Android Authority
Be the first to comment
