innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

Google OAuthを悪用したDKIMリプレイ攻撃が発生、Googleが対策中

- innovaTopia - (イノベトピア)

Last Updated on 2025-04-21 18:04 by admin

2025年4月、ハッカーがGoogleのインフラストラクチャの脆弱性を悪用し、Googleから送信されたように見える偽のメールを送信する攻撃が発覚した。この攻撃は、DomainKeys Identified Mail(DKIM)認証をパスし、すべての検証をクリアしながらも、ユーザーをフィッシングサイトへ誘導するという巧妙な手法を用いている。

この手法は、Ethereum Name Service(ENS)の主任開発者であるNick Johnson氏によって発見された。Johnson氏は自身のXアカウントで、Googleの法的手続きに関する偽の通知メールを受け取ったことを報告した。このメールは「[email protected]」から送信されたように見え、DKIMシグネチャチェックをパスしていた。

攻撃者は以下の手順で攻撃を実行した:

  1. ドメインを登録し、「me@ドメイン名」のGoogleアカウントを作成。
  2. Google OAuthアプリを作成し、アプリ名としてフィッシングメッセージ全文を使用。
  3. OAuthアプリに自分のメールアドレスへのアクセス権を付与すると、Googleは自動的にセキュリティ警告を送信。
  4. この正規のセキュリティ警告を被害者に転送。

この攻撃の特徴は、Google Sitesという古いGoogleプロダクトを悪用して偽のサポートポータルページを作成し、任意のスクリプトや埋め込みコードを実行できる脆弱性を利用している点だ。ユーザーはgoogle.comドメインを信頼してログイン情報を入力してしまう危険性がある。

同様の手法は2025年3月にPayPalユーザーを標的にしたキャンペーンでも使用され、「ギフトアドレス」オプションを悪用していた。

Googleは当初、この問題をバグとして認識していなかったが、後にセキュリティリスクとして認め、現在対策を進めている。Googleの広報担当者は、「Rockfoils」という脅威アクターによるこの種の標的型攻撃を認識しており、過去1週間にわたって保護機能を展開してきたと述べている。これらの保護機能はまもなく完全に展開され、この悪用経路を遮断する予定だ。

Googleは対策が完全に展開されるまでの間、ユーザーに二要素認証とパスキー(パスワードに代わる新しい認証方式で、フィッシング攻撃に対する耐性が高い)の採用を推奨している。これらの対策により、このようなフィッシングキャンペーンに対する強力な保護が提供されるとしている。

from: Phishers abuse Google OAuth to spoof Google in DKIM replay attack

【編集部解説】

Google OAuthの脆弱性が示す認証システムの新たな課題とは?
今回報告されたGoogle OAuthを悪用したDKIMリプレイ攻撃は、現代のセキュリティ対策の盲点を突いた巧妙な手法です。この攻撃が特に注目に値するのは、従来のフィッシング対策として有効とされてきたDKIM認証を逆手に取った点にあります。

DKIMとは「DomainKeys Identified Mail」の略で、メールの送信元ドメインが正規のものであることを証明する電子署名技術です。通常、この認証をパスしたメールは信頼できるとされていますが、今回の攻撃はこの信頼性を悪用しています。

攻撃の手法を詳しく見ると、攻撃者はGoogle OAuthのアプリ作成機能を利用して、フィッシングメッセージをアプリ名として登録しています。これにより、Googleが自動的に送信するセキュリティ警告メールに、攻撃者が意図したフィッシングメッセージが含まれるという仕組みです。

この攻撃が特に危険なのは、メールが実際にGoogleのサーバーから送信され、正規のDKIM署名を持っているため、受信者のメールクライアントでは完全に正規のメールとして表示される点です。さらに、フィッシングサイトもGoogle Sitesというサービス上に構築されているため、URLにも「google.com」ドメインが含まれており、ユーザーの警戒心を解いてしまいます。

セキュリティ研究者たちが指摘するように、この問題の根本には、Googleの古いサービスであるGoogle Sitesが任意のスクリプトや埋め込みコードを許可している点があります。現代のセキュリティ基準から見れば、こうした機能は危険性が高いと言えるでしょう。

また、この事例は大手テクノロジー企業でさえ、レガシーシステムとモダンなセキュリティ要件の間でバランスを取ることの難しさを示しています。ユーザーにとって便利な機能が、時としてセキュリティホールになり得るという教訓です。

Googleの対応も興味深いポイントです。当初は「プロセスは意図したとおりに機能している」と回答していたものの、後にユーザーへのリスクとして認識し、修正に取り組むという姿勢の変化がありました。最新の情報によれば、Googleは「Rockfoils」という脅威アクターによる標的型攻撃として認識しており、保護機能の展開を進めているとのことです。

この事例から私たちが学ぶべきことは、セキュリティは単一の技術や認証方式だけでは確保できないということです。DKIMやDMARCといった電子メール認証技術は重要ですが、それらを補完する多層防御の考え方が必要です。

特に注目すべきは、Googleが対策として二要素認証とパスキーの採用を推奨している点です。パスキーは従来のパスワードに代わる新しい認証方式で、FIDO2標準に基づいており、生体認証や端末の認証機能を活用することでフィッシング攻撃に対する耐性が高いとされています。パスキーを使用すると、ユーザーはフィッシングサイトに誤ってログイン情報を入力するリスクを大幅に減らすことができます。

今後、同様の攻撃手法が他のプラットフォームでも応用される可能性があります。実際に、PayPalでも類似の手法が確認されています。ユーザーとしては、たとえ信頼できる送信元からのメールであっても、重要な情報の入力を求められる場合は慎重に行動することが重要です。

テクノロジーの進化とともに、セキュリティの脅威も進化し続けています。この事例は、私たちがデジタル世界で安全に過ごすためには、技術的な対策だけでなく、常に警戒心を持ち、批判的思考を働かせることの重要性を改めて教えてくれています。

【用語解説】

OAuth 2.0:
インターネットサービス間で安全に認証・認可を行うための標準プロトコル。例えば、パスワードを共有せずにGoogleアカウントで他のサービスにログインできる仕組み。これは鍵の貸し借りに例えられる。家の鍵(パスワード)を渡すのではなく、特定の部屋だけ開けられる一時的な鍵(アクセストークン)を渡すようなものである。

DKIM (DomainKeys Identified Mail):
メールの送信元ドメインが正規のものであることを証明する電子署名技術。手紙に押す公印のようなもので、メールの内容が改ざんされていないことと、送信者が本物であることを証明する。

DMARC (Domain-based Message Authentication, Reporting, and Conformance):
メール認証プロトコルの一つで、なりすましメールを防ぐための仕組み。SPFやDKIMと組み合わせて使用され、認証に失敗したメールの扱いを指定できる。

ENS (Ethereum Name Service):
イーサリアムブロックチェーン上で動作する分散型ネーミングシステム。複雑な暗号資産のウォレットアドレスを「yourname.eth」のような読みやすい形式に変換するサービス。インターネットのドメイン名(DNS)に相当するものだが、ブロックチェーン上で動作する。

Nick Johnson:
Ethereum Name Service (ENS)の主任開発者。今回のGoogle OAuthの脆弱性を発見し報告した人物。

リプレイ攻撃:
正規の通信を記録し、後で再送信(リプレイ)することで不正アクセスを試みる攻撃手法。今回の事例では、Googleが生成した正規のセキュリティ警告メールを転送することで、受信者をだました。

EasyDMARC:
メールセキュリティに特化した企業。DMARC、SPF、DKIMなどのメール認証プロトコルの実装と管理を支援するサービスを提供している。

パスキー (Passkeys):
パスワードに代わる新しい認証方式で、FIDO2標準に基づいている。生体認証や端末の認証機能を活用し、フィッシング攻撃に対する耐性が高い。ユーザーはパスワードを覚える必要がなく、指紋認証やFace IDなどで簡単かつ安全に認証できる。

Rockfoils:
今回のGoogle OAuth攻撃を実行したとされる脅威アクター(ハッカーグループ)。標的型フィッシング攻撃を専門とするグループとされている。

【参考リンク】

Google OAuth(外部)
Google APIにアクセスするためのOAuth 2.0認証の公式ドキュメント。開発者向けの技術情報が掲載されている。

Ethereum Name Service (ENS)(外部)
イーサリアムブロックチェーン上のドメインネームサービス。複雑な暗号資産アドレスを人間が読みやすい形式に変換する。

EasyDMARC(外部)
メール認証プロトコルの実装と管理を支援するクラウドベースのプラットフォーム。フィッシングやスプーフィング攻撃からドメインを保護する。

PayPal(外部)
オンライン決済サービス。世界中で3億人以上のユーザーと2,400万以上の加盟店を持つ。

Google パスキー(外部)
Googleが提供するパスキーに関する公式情報。パスキーの仕組みや設定方法が説明されている。

【参考動画】

Google開発者チャンネルによるOAuth 2.0の仕組みとセキュリティに関する解説動画。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

投稿者アバター
アリス
プログラミングが好きなオタク
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Google OAuthを悪用したDKIMリプレイ攻撃が発生、Googleが対策中

Latest News