「Google Docs」招待を装うフィッシング詐欺、グーグルが対策を発表

　米国時間5月3日、Googleのユーザーに急速に広まった高度なフィッシング詐欺をめぐって、インターネットに動揺が走った。

　この攻撃は、ユーザーアカウントへのアクセスを得る目的で、「Google Docs」への招待を装っていた。標的になったユーザーは、ドキュメントを開くよう求められ、詐欺とは知らずにアカウントへのアクセスを許可してしまう。すると攻撃者は、メールに使われている「Open Authorization」（OAuth）技術をユーザーの連絡先リストに適用し、この招待を転送して拡散する。

　GoogleのMark Risher氏は5月5日の声明で、1時間以内に攻撃を食い止めたと述べた。不正なアプリの偽装ページとアプリケーションを削除し、「Gmail」と「Google Cloud Platform」におけるユーザー保護機能をアップデートして、「影響を受けたアカウントを再び安全にした」としている。Risher氏によると、フィッシング詐欺の被害を受けたのはユーザーの0.1％に満たないという。

　今後こうした事態を避けるため、Googleはまた、OAuthアプリケーションを扱う方法を更新し、スパム対策システムをアップデートしていく。さらに、ユーザー情報をリクエストするサードパーティー製アプリの扱い方についても見直しを進める。