Gmailユーザーに新警告、グーグル偽る「サポート詐欺」増加──今すぐできる3つの対策
既報の通りグーグルは、ShinyHuntersという恐喝グループの一部とみられるハッカーから攻撃を受けていることと、グーグルのSalesforceデータベースが侵害されたことによるデータ漏えいを認めた。Google Cloudのユーザーも警告から逃れられない。いわゆる「dangling buckets(ダングリング・バケット)」を用いてデータを盗み出し、マルウェアを配布する攻撃経路の詳細を示す勧告が発表された。
Gmailユーザーもまた安心はできず、ハッカーの照準のど真ん中にいる。サイバーセキュリティ事案の3件目として、Gmailユーザーがオンラインのサポートフォーラムで新手の攻撃が相次いでいると報告している。今回、攻撃者はグーグルの正規サポートを装い、電話とメールを併用するハイブリッド手口を採っている。もっともらしく見える一方で危険極まりない。ここでは、25億人のGmailユーザーが知っておくべきことと取るべき対策を示す。
■25億人のGmailユーザーに対する、新手の「サポート詐欺」
Gmailのユーザー数は推定25億人、世界人口の約30%に相当すると見られており、サイバー犯罪者がGmailのハッキングに関心を寄せるのは不思議ではない。結局のところ、メールは後続の攻撃に利用できる有用なデータの宝庫である。すべてのメールプラットフォームはハッキングのリスクにさらされるが、GmailはWindowsと同様、その巨大なユーザーベースゆえに際立った存在なのだ。
今回の攻撃に関する最新の警告は、Reddit内のGmailサブレディットへの投稿によるもので、詐欺師がグーグルを装ってアカウントのパスワードリセットを開始し、受信トレイの乗っ取りを狙う手口が詳細に記されている。筆者は以前にもこの種の攻撃を報告してきたが、最近の急増も同じ手口に従っているように見える。被害者はまず、グーグルサポートを名乗る人物から電話を受ける。相手は、不明な第三者が当人のグーグルアカウントをハッキングしようとしていると警告し、攻撃を止めて身を守るにはパスワードのリセットが必要だと助言する。
ここでハイブリッド詐欺の第2段階が動き出す。攻撃者はユーザーにアカウントのリセットメールを送る。詐欺自体は単純だ。そのGmail宛てのパスワードリセットメールには、パスワード変更を試みている本人であることを示すセキュリティ確認コードが含まれている。攻撃者は被害者に、そのコードを電話口で読み上げるよう促し、「グーグルサポート」が被害者のアカウントをリセットして「進行中の攻撃」から守るのだと説得する。もちろん、実際には通話の最中にリアルタイムであなたのアカウントを乗っ取っているだけである。
■不具合対応のためグーグルから電話をかけることはない
グーグル自身も、昨年メール経由で配信されたパスワード窃取系の脅威が84%増加したと述べ、こうした傾向が「2025年には一層激化している」と認めている。
「すべてのユーザーに警戒を怠らないようお願いする」とグーグルの広報担当者は述べ、「グーグルがパスワードのリセットやアカウントの不具合対応のために電話をかけることはない、という点を読者に必ず念押ししてほしい」と付け加えた。
■グーグルは、Gmailアカウント攻撃を緩和する方法を公開
またグーグルは、Googleのセキュリティ警告が本物かどうかを見分けるための有用なガイドを公開している。併せて次の3つのアカウント攻撃緩和策を早急に実施することを勧める。
1. 「セキュリティ診断」(Security Checkup)
グーグルの「セキュリティ診断」(Security Checkup)は、アカウントを守るために適切なセキュリティ保護が有効になっているかを確認する仕組みで、最も効率的かつ効果的な方法である。有効化済みの項目を点検し、リスクになり得る問題について助言する。アカウントの点検までは完全に自動だが、推奨に従って設定を変更するには提示されたリンクから手動で操作する必要がある。
2. 「高度な保護機能プログラム」(Advanced Protection Program)
「高度な保護機能プログラム」(Advanced Protection Program)では、最も手強いハッカーであってもGmailアカウントにアクセスしにくくするため、追加チェックを実施できる。 有害なおそれのあるダウンロードのブロック、非グーグル製アプリによるGmailデータへのアクセス制限、そして巧妙な攻撃者による乗っ取りを防ぐべくアカウント復旧プロセスに追加のステップを課す、といった対策が含まれる。
3. 「パスキー」(passkey)を設定
グーグルのパスキー(passkey)を使うことを推奨する。パスキーを設定しておけば、アカウント乗っ取り攻撃の大半をほぼ完全に封じることができるからだ。グーグルの広報担当者は「グーグルの調査では、パスキーが自動化ボット、大量フィッシング攻撃、標的型攻撃に対して、SMSやアプリベースのワンタイムパスワード、その他の従来型二要素認証よりも強力な保護を提供することを示しています」と述べている。
