フィッシングから身を守る
2017年5月31日水曜日
この記事は 不正使用対策テクノロジー ディレクター、Mark Risher による Google Online Security Blog の記事 "Protecting You Against Phishing" を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。
大多数のメールユーザーが認識しているように、フィッシング攻撃(信頼されている送信元を装い、ユーザーを欺いて情報を共有させるメール)は広く蔓延している問題です。Gmail では、毎日何百万通ものフィッシング メールが受信トレイに届く前にブロックされるので、安心できます。
今週(*原文公開当時)は、あるメール フィッシング攻撃を防ぐことができました。これは、フィッシング メールを広めるために、意図せずに連絡先情報へのアクセスを許可させようとするものでした。私たちは、早急なアクションによって、攻撃者に付与されたアクセス権を無効にし、今後、このタイプの攻撃の亜種による被害を防ぐための対策を実施することができました。
本投稿では、この攻撃の仕組みや対処方法、そして攻撃から身を守る方法を理解していただくために、その背景について説明します。
攻撃の仕組みと対処方法
この攻撃の被害者は、連絡先のいずれかから Google Doc への招待のように見えるメールを受信しています。ユーザーが攻撃者からのメールにあるリンクをクリックすると、攻撃者のアプリケーションが開きます。その際に、Google Doc へのアクセス権付与を装ってユーザー アカウントへのアクセスがリクエストされます。ユーザーがアプリケーションによるアクセスを許可(これは、OAuth と呼ばれているメカニズムによります)すると、ユーザーの連絡先リストに対して同じメッセージが送信されます。
この問題が検知された際に、即座に自動と手動を組み合わせた対策を行いました。その結果、この攻撃は 1 時間以内に収束することになりました。私たちは、偽のページとアプリケーションを削除し、セーフ ブラウジング、Gmail、Google Cloud Platform、その他の不正使用対策システムでユーザーを保護するためのアップデートをプッシュしました。この攻撃の影響を受けたユーザーは 0.1% 未満であり、影響を受けたアカウントのセキュリティも復旧されています。
私たちは、以下を始めとするさまざまな方法でユーザーをフィッシング攻撃から守っています。
さらに、今後もこのタイプの攻撃に備えるため、ポリシーや OAuth 適用の強制に関するアップデート、今回のような攻撃を防ぐためのアンチスパム システムのアップデート、ユーザーの情報をリクエストする疑わしいサードパーティ製アプリの監視強化など、複数の対策を行っていきます。
ユーザーが自分自身を守るためにできること
私たちは Google アカウントを安全に保つための努力を続けています。また、私たちには、異常な動作を検知するハイジャック対策システムから、悪意のあるコンテンツをブロックする機械学習モデル、Chrome の保護機能、疑わしいサイトへのアクセスをブロックするセーフ ブラウジングまで、あらゆる種類の高度な攻撃から身を守るための保護レイヤーがあります。加えて、ユーザーが自分自身を守るために行えることがいくつかあります。
ユーザーを守るために G Suite 管理者ができること
OAuth アクセスを付与してしまったユーザーがいる G Suite ユーザーには、個別に通知しています。この件で管理者やユーザーが追加で操作を行う必要はありませんが、G Suite 管理者の方は、全般的なセキュリティを向上させる以下のベスト プラクティスについて検討してください。
Posted by Eiji Kitamura - Developer Relations Team
大多数のメールユーザーが認識しているように、フィッシング攻撃(信頼されている送信元を装い、ユーザーを欺いて情報を共有させるメール)は広く蔓延している問題です。Gmail では、毎日何百万通ものフィッシング メールが受信トレイに届く前にブロックされるので、安心できます。
今週(*原文公開当時)は、あるメール フィッシング攻撃を防ぐことができました。これは、フィッシング メールを広めるために、意図せずに連絡先情報へのアクセスを許可させようとするものでした。私たちは、早急なアクションによって、攻撃者に付与されたアクセス権を無効にし、今後、このタイプの攻撃の亜種による被害を防ぐための対策を実施することができました。
本投稿では、この攻撃の仕組みや対処方法、そして攻撃から身を守る方法を理解していただくために、その背景について説明します。
攻撃の仕組みと対処方法
この攻撃の被害者は、連絡先のいずれかから Google Doc への招待のように見えるメールを受信しています。ユーザーが攻撃者からのメールにあるリンクをクリックすると、攻撃者のアプリケーションが開きます。その際に、Google Doc へのアクセス権付与を装ってユーザー アカウントへのアクセスがリクエストされます。ユーザーがアプリケーションによるアクセスを許可(これは、OAuth と呼ばれているメカニズムによります)すると、ユーザーの連絡先リストに対して同じメッセージが送信されます。
この問題が検知された際に、即座に自動と手動を組み合わせた対策を行いました。その結果、この攻撃は 1 時間以内に収束することになりました。私たちは、偽のページとアプリケーションを削除し、セーフ ブラウジング、Gmail、Google Cloud Platform、その他の不正使用対策システムでユーザーを保護するためのアップデートをプッシュしました。この攻撃の影響を受けたユーザーは 0.1% 未満であり、影響を受けたアカウントのセキュリティも復旧されています。
私たちは、以下を始めとするさまざまな方法でユーザーをフィッシング攻撃から守っています。
- 機械学習ベースでスパムやフィッシング メッセージを検出します。スパム検知の正確性は、99.9% です。
- Gmail や 20 億以上のブラウザで、危険なリンクに対してセーフ ブラウジング警告を行います。
- 動的なリスクベースの方式により、疑わしいアカウントへのログインをブロックします。
- メールの添付ファイルに対して、不正なソフトウェアなどの危険なペイロードをスキャンします。
さらに、今後もこのタイプの攻撃に備えるため、ポリシーや OAuth 適用の強制に関するアップデート、今回のような攻撃を防ぐためのアンチスパム システムのアップデート、ユーザーの情報をリクエストする疑わしいサードパーティ製アプリの監視強化など、複数の対策を行っていきます。
ユーザーが自分自身を守るためにできること
私たちは Google アカウントを安全に保つための努力を続けています。また、私たちには、異常な動作を検知するハイジャック対策システムから、悪意のあるコンテンツをブロックする機械学習モデル、Chrome の保護機能、疑わしいサイトへのアクセスをブロックするセーフ ブラウジングまで、あらゆる種類の高度な攻撃から身を守るための保護レイヤーがあります。加えて、ユーザーが自分自身を守るために行えることがいくつかあります。
- Google アカウント情報を確認します。特に、使っていないアプリケーションや端末、知らない端末には注意します。
- Gmail などの製品に表示される警告やアラートに注意します。
- 疑わしいメールやコンテンツを Google に報告します。
ユーザーを守るために G Suite 管理者ができること
OAuth アクセスを付与してしまったユーザーがいる G Suite ユーザーには、個別に通知しています。この件で管理者やユーザーが追加で操作を行う必要はありませんが、G Suite 管理者の方は、全般的なセキュリティを向上させる以下のベスト プラクティスについて検討してください。
- 現在のサードパーティによる OAuth API アクセスを確認し、検証します。
- 今後の意図しないスコープの付与を検知するために OAuth トークン監査ログレポートを実行し、管理者コンソールでカスタム アラート機能を使って自動メールアラートを設定するか、Reports API を使ってスクリプトを記述します。
- 組織で 2 段階認証プロセスを有効にし、セキュリティ キーを利用します。
- アカウントに侵入された可能性があると感じた場合は、セキュリティ チェックリストに従います。
- 組織に DMARC ポリシーを適用して、自社ブランドがフィッシング攻撃に使われることを防ぎます。
- S/MIME 暗号化のルールを使用し、強制します。
Posted by Eiji Kitamura - Developer Relations Team