Gmailの「脆弱性」情報--グーグル側はフィッシングと反論

　Googleは米国時間11月25日、サードパーティーが「Gmail」の脆弱性を利用して、ドメインをハイジャックしたといわれている件を調査した結果を発表した。いわれているような脆弱性はGmailに見つからなかった、と結論付けている。

　いわれていた脆弱性は、攻撃者がユーザーの電子メールアカウントに許可なくフィルタを設定できるというもので、ブログサイトGeek Conditionが11月23日に実証コードを掲示していた。このブログで、「Brandon」と名乗る人物は、脆弱性により、GoDaddy.comで登録していたドメインをハイジャックされた人がいると記している。

　しかし、Googleはこの脆弱性の影響を受けたと主張する人を調査した結果、この人たちは（Gmailの脆弱性ではなく）フィッシング攻撃の被害者であると判断したという。Googleの情報セキュリティエンジニア、Chris Evans氏はブログで、次のように説明している。

　「攻撃者は、ウェブドメイン所有者に対し、『google-hosts.com』などの不正なサイトを訪問することを推奨する電子メールを作成し、送りつけた。これらの不正なサイトは、ユーザー名とパスワードを盗む目的で設定されたものだ。これらのサイトはGoogleとは何の関係もなく、現在オフラインになっているものもある。攻撃者はいったんユーザーの情報を入手すれば、影響を受けたアカウントを自分の好きなように変更できる」

　Googleの関係者は11月24日午前、さらなる情報を得るために「Brandon」という人物にコンタクトをとろうとしていると、われわれに明かしていた。だが、Googleが今回の結論を出すうえで、このブロガーと接触してきたのかは明らかにされていない。現在、GeekConditionは更新されておらず、Googleの報告書が発表された後もGmailの脆弱性を指摘する投稿を掲示したままとなっている。