Googleが月曜日、Gmailの重大なセキュリティ問題に関する広範囲の警告を発していないと正式に否定した。
同社は「Gmailの保護機能は強力で効果的であり、Gmailの大きなセキュリティ警告があったという主張は偽である」と発表した。
Gmailのユーザー数は25億人以上である。Googleの保護機能は99.9%以上のフィッシングとマルウェア攻撃を阻止している。
6月にGoogleの脅威インテリジェンス・グループが、電話でITサポート担当者になりすますハッカーの追跡についてブログエントリを投稿した。
ハッカーは従業員を騙して認証情報を入手し、企業のSalesforceデータを盗むことを目標としている。8月5日の更新で、Google自身の企業Salesforceインスタンスの1つがこの活動に影響を受けたことが判明した。
影響を受けた人々には8月8日にメールが送られた。7月下旬にはGoogleがフィッシング攻撃の加速化に関する警告を投稿した。
CNETの調査では米国成人の49%がリスクの高いパスワード習慣を持っている。
From: 
That Supposed ‘Gmail Hack’: Google Says It’s False, but Watch Out for Phishing Anyway
【編集部解説】
実は今回のGoogleの公式否定は、8月末に世界中で大きく報じられた「Gmail25億人データ漏えい」騒動を受けたものです。CNETの元記事では触れられていませんが、この誤解の背景には複数の関連する事象が重なっていました。
今回の混乱の核心は、GoogleのSalesforce環境に対する実際の攻撃と、それを誇張して報じたメディア報道にあります。6月から始まったハッカー集団「ShinyHunters」による攻撃では、ソーシャルエンジニアリング手法で従業員をだまし、Salesforceの認証トークンを悪用してデータを窃取しました。
注目すべきは、この攻撃の規模と手法の巧妙さです。UNC6395として追跡されるこの攻撃グループは、8月8日から18日の間に700以上の組織を標的とし、PythonスクリプトによってSalesforceインスタンスから大量のデータを自動抽出していました。多要素認証を回避してOAuthトークンを悪用する手法は、従来のセキュリティ対策の限界を示しています。
この事件が示す最も重要な教訓は、クラウドサービスの相互接続による「カスケード攻撃」のリスクです。SalesforceやGoogle Workspaceといった企業向けSaaSが高度に統合された現在、一つのサービスへの侵入が連鎖的に他のシステムにも影響を与える可能性があります。
また、フィッシング攻撃の精度向上も深刻な問題となっています。窃取された連絡先情報を使い、攻撃者はより説得力のある偽装メールや電話を仕掛けられるようになりました。Googleの調査では、フィッシングとビッシング(音声フィッシング)が全アカウント乗っ取りの37%を占めるまでに増加しています。
興味深いのは、Googleが99.9%以上の攻撃を阻止していると発表している一方で、残り0.1%未満でも25億ユーザーの規模では数百万人に影響が及ぶ可能性があることです。この数字は、絶対的安全性が存在しない現実を物語っています。
今回の騒動は、情報セキュリティにおける「信頼の連鎖」の脆弱性を浮き彫りにしました。企業は自社システムだけでなく、連携する全てのサービスのセキュリティを考慮する必要があります。個人ユーザーレベルでも、パスキーや多要素認証の重要性が改めて確認されたと言えるでしょう。
【用語解説】
ソーシャルエンジニアリング
技術的な攻撃ではなく、人間の心理的な隙を突いて機密情報を騙し取る手法。電話でITサポート担当者になりすまし、従業員にパスワードを聞き出すなどが典型例である。
OAuth
第三者サービスがユーザーの認証情報を直接受け取ることなく、他のサービスにアクセス許可を与える認証プロトコル。GoogleやSalesforceなどクラウドサービス間の連携に広く使用されている。
フィッシング
偽のウェブサイトやメール、SMSを使って、ユーザーからパスワードやクレジットカード情報などの機密情報を不正に入手する詐欺手法である。
パスキー
パスワードに代わる新しい認証技術。生体認証やPINコードを使用し、フィッシング攻撃に対してより安全な認証方式として注目されている。
ビッシング
音声(Voice)とフィッシング(Phishing)を組み合わせた造語。電話を使って個人情報や金融情報を騙し取る詐欺手法である。
【参考リンク】
Salesforce公式サイト(外部)
世界No.1のCRMプラットフォーム。企業の営業、マーケティング、カスタマーサービスを統合的に管理するクラウドサービスを提供している。
Gmail(外部)
Googleが提供する無料メールサービス。25億人以上のユーザーを持つ世界最大級のメールプラットフォームの一つである。
Google Workspace(外部)
Googleが企業向けに提供するクラウドベースの生産性ツールスイート。Gmail、Googleドライブ、Meetなどが含まれる。
【参考記事】
Hackers steal data from Salesforce instances in widespread campaign(外部)
Cybersecurity Diveによる英語記事。UNC6395攻撃グループの手法と、700以上の組織が標的となった攻撃キャンペーンの詳細を報告している。
Top 7 Data Breaches in August 2025 That Made Headlines(外部)
2025年8月に発生した主要データ侵害事件のまとめ記事。Salesforce関連の攻撃を含む7つの重大インシデントを時系列で整理している。
250+ Phishing Statistics and Trends You Must Know in 2025(外部)
2025年のフィッシング攻撃統計とトレンドをまとめた包括的な記事。AI駆動型攻撃の1,265%増加や、組織の57%が週単位でフィッシング攻撃を受けているという最新データを提供している。
Google’s urgent warning for everyone with a Gmail account(外部)
Economic Timesの記事。Googleの公式否定声明と、フィッシング攻撃がアカウント乗っ取りの37%を占めるという統計データを詳しく報告している。
【編集部後記】
今回のGmail騒動を受けて、皆さんはご自身のメールセキュリティについてどのような対策を取られていますか?
25億人という規模の影響を受ける可能性があると聞くと不安になりますが、実際のところ、普段使っているパスワードの強度や、二段階認証の設定状況はいかがでしょうか。私自身も含め、「まあ大丈夫だろう」と思いがちですが、今回のようなソーシャルエンジニアリング攻撃は技術的な防御だけでは完全に防げません。
特に興味深いのは、攻撃者が一度に700以上の組織を標的にできる自動化技術を持っていることです。皆さんの会社や個人アカウントも、知らないうちに攻撃対象になっている可能性があります。この機会に、パスキーへの移行や、使用しているクラウドサービス間の連携設定を見直してみませんか?
