Last Updated on 2025-06-12 21:33 by admin
Googleは2025年6月6日に以下の脆弱性を修正し、研究者に5,000ドルのバグバウンティを支払った。
セキュリティ研究者Brutecatが2025年4月14日にGoogleに報告したセキュリティ脆弱性により、攻撃者がGoogleアカウントの復旧用電話番号をブルートフォース攻撃で取得することが可能だった。
この脆弱性は、JavaScriptが無効化されたGoogleのユーザー名復旧フォームがBotGuardによる不正利用対策を欠いていたことが原因である。
攻撃手法は、Looker Studioでドキュメントを作成して被害者に所有権を移転することで表示名を取得し、パスワード復旧フローで電話番号の末尾2桁のヒントを入手し、IPv6アドレスローテーションとBotGuardトークンを使用して毎秒40,000回のリクエストでブルートフォース攻撃を実行するものだった。
攻撃時間は米国の電話番号で約20分、英国で4分、オランダで15秒未満だった。
From: 
Google Bug Allowed Brute-Forcing of Any User Phone Number
【編集部解説】
今回のGoogleの脆弱性は、単純なセキュリティホールではなく、複数の技術的要素が組み合わさった「攻撃チェーン」として機能していた点が特徴的です。この脆弱性の本質は2018年以降に導入されたBotGuard保護機能が、レガシーなJavaScript無効版のフォームに適用されていなかったことにあります。
最も注目すべきは、攻撃者が必要とする情報収集の巧妙さでしょう。Looker Studioの所有権移転機能を悪用して被害者の表示名を取得し、パスワードリセットフローから電話番号の末尾2桁を入手するという手法は、Googleのサービス間連携の盲点を突いたものです。
技術的な観点から見ると、IPv6アドレスローテーションによる毎秒40,000回のリクエスト送信は、従来のIPベースレート制限の限界を露呈しています。特に/64サブネットを活用することで、事実上無制限のIPアドレスプールを確保できる点は、現代のクラウドインフラの特性を巧みに利用したものです。
この攻撃の効率性は地域によって大きく異なります。オランダで15秒未満、英国で4分、米国で20分という時間差は、各国の電話番号体系の違いを反映しており、短い番号体系を持つ国ほど脆弱性のリスクが高いことを示しています。
セキュリティ業界への影響として、この事案は「レガシーシステムの段階的廃止」の重要性を改めて浮き彫りにしました。多くの大手テック企業が抱える古いAPIエンドポイントや非推奨機能が、現代のセキュリティ基準に適合していない可能性があることを示唆しています。
また、SIMスワッピング攻撃の前段階として電話番号が特定される手法が確立されたことで、二要素認証における電話番号の脆弱性が再認識されました。これは、認証アプリやハードウェアキーなど、より安全な二要素認証手段への移行を加速させる要因となるでしょう。
Googleの対応速度(2025年4月14日報告、2025年6月6日修正)は比較的迅速でしたが、5,000ドルという報奨金額については、潜在的な影響範囲を考慮すると控えめな印象を受けます。
長期的な視点では、この事案はゼロトラスト・セキュリティモデルの重要性を強調しています。サービス間の連携においても、各コンポーネントが独立してセキュリティ検証を行う必要性が明確になりました。特に、マイクロサービス化が進む現代のクラウドアーキテクチャにおいて、このような横断的な攻撃手法への対策は急務となっています。
【用語解説】
ブルートフォース攻撃(総当たり攻撃)
想定される全てのパスワードや数値のパターンを順番に試行し、正解を見つけ出すサイバー攻撃手法である。計算能力の向上により、短時間で大量の組み合わせを試すことが可能になっている。
BotGuard
Googleが開発したクラウドベースのサイバーセキュリティサービスで、悪意のあるボット、自動攻撃、クローラー、スクレイパーからウェブサイトやウェブアプリケーションを保護する。JavaScriptを実行してクライアント側データを収集し、フィンガープリンティングや行動分析を行う。
SIMスワッピング(SIMハイジャッキング)
標的の携帯電話番号を攻撃者のSIMカードに移し替える攻撃手法である。通信事業者を騙すことで電話番号を乗っ取り、SMS認証を無効化して二要素認証を突破する。仮想通貨窃取などに悪用される。
IPv6アドレスローテーション
IPv6の128ビットアドレス空間を利用し、/64サブネットから大量のIPアドレスを生成してローテーションする技術。レート制限を回避するために攻撃者が悪用することがある。
ビッシング攻撃
Voice phishingの略で、電話を使った社会工学的攻撃手法である。攻撃者が信頼できる組織の担当者になりすまし、電話で個人情報や認証情報を騙し取る。
【参考リンク】
Google アカウント(外部)
Googleが提供する統合アカウントサービス。Gmail、YouTube、Google Driveなど全てのGoogleサービスを一元管理し、業界最先端のセキュリティで保護されている。
Looker Studio(外部)
Googleが提供する無料のビジネスインテリジェンスツール。GA4やGoogle広告など800以上のデータソースからデータを抽出し、リアルタイムでレポートを作成できる。
【参考動画】
【参考記事】
Google patched bug leaking phone numbers tied to accounts – BleepingComputer(外部)
BruteCat研究者が発見したGoogleの脆弱性について詳細に報告。IPv6ローテーションとBotGuardトークンを使った攻撃手法の技術的詳細を解説している。
Google fixes bug that could reveal users’ private phone numbers – TechCrunch(外部)
TechCrunchが実際にテストアカウントで脆弱性を検証し、研究者が電話番号を特定できることを確認した記事。攻撃の実証実験とGoogleの対応について報告している。
Researcher Found Flaw to Discover Phone Numbers Linked to Any Google Account – The Hacker News(外部)
シンガポールの研究者BruteCatによる発見の詳細と、Looker Studioを悪用した表示名取得手法について解説。攻撃チェーンの全体像を包括的に説明している。
【編集部後記】
今回のGoogleの脆弱性事案は、私たちのデジタル生活の安全性を改めて考えさせます。皆さんは、二要素認証の電話番号依存についてどう思われますか?
また、より安全な認証方法への移行はどのように進めるべきだと感じますか?私たちinnovaTopia編集部も専門家ではありませんが、皆さんと一緒に考え、未来のテクノロジーの安全性について意見交換できれば幸いです。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
