Googleが、同社の「Public Service Search」アプリケーションにフィッシング詐欺につながるセキュリティホールがあることを認め、問題を修復するまでの間、同サービスへのアクセスを一時的に遮断した。
今回の問題は、ブロガーのEric Farraro氏が米国時間9月14日に、ソフトウェア開発に関する自身のブログに詳細を掲載したことにより発覚した。Public Service Searchのコードをカスタマイズすることで、大学のような非営利機関は、みずからのウェブサイトに広告の表示されないGoogle検索機能を無料で実装できるが、Farraro氏によれば、このコードを利用すると、「google.com」ドメイン上でホスティングされるウェブページを作成できるという。
詐欺を企てる攻撃者は、こうしたページをGoogleのページに見せかけて人々をだまし、個人情報を漏洩させると、Farraro氏は記している。例として、同氏は「Gmail Plus」という偽ページを作ってみせた。無防備なユーザーがこのページにアクセスし、Gmailのパスワードを使ってログインすると、同サイトは「だまされた(かもしれない)ね!」というメッセージを表示する。
検索大手Googleは米国時間9月15日、同社のブログに声明を投稿して、セキュリティホールの存在を認めた。同社は一時的に、Public Service Searchユーザーによるログインアクセスをすべて無効化し、新たなサインアップも見合わせている。ただし、現行ユーザーのウェブサイトに設置されている検索機能は利用できるという。Googleは、同サービスの問題に対する暫定的な処置はすでに施し、現在は恒久的な修復措置を講じるための作業に取り組んでいると述べている。
Public Search Serviceのセキュリティホールは、今夏に発生したPayPal詐欺のケースと同様に、本物のGoogleのURLを悪用するという点から、特に危険性が高いと考えられている。多くのフィッシング対策の有効性は、正規ドメインに見せかけられている偽ドメインを見破れるかどうかにかかっている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」