Google脅威インテリジェンスグループ(GTIG)の研究者による報告を基に、Malwarebytesが2025年6月23日に報じた内容によると、ロシアのハッカーがGmailの多要素認証(MFA)を迂回する標的型攻撃を実行した。
攻撃者は米国国務省職員になりすまし、高度なソーシャルエンジニアリング手法を用いて標的との信頼関係を構築した後、アプリ固有パスワード(16桁のコード)を作成するよう説得した。
攻撃手法は、Gmailアカウントから招待メールを送信し、4つの偽造された@state.govアドレスをCCに含めることで信頼性を演出した。
標的が興味を示すと「MS DoS Guest Tenant」アカウント登録を装った公式文書を送付し、アプリパスワード作成を指示した。この攻撃により攻撃者はGoogleアカウントへの完全なアクセス権を獲得した。
数か月間継続されたこのキャンペーンの標的はロシアの学者や批判者であり、研究者はロシア国家支援組織による攻撃と推定している。トロント大学のCitizenLabが攻撃事例を提供した。
From: 
Gmail’s multi-factor authentication bypassed by hackers to pull off targeted attacks
【編集部解説】
今回のインシデントは、従来のフィッシング攻撃とは一線を画す高度なソーシャルエンジニアリング攻撃として注目すべき事案です。攻撃者は数週間から数か月をかけて標的との信頼関係を構築し、緊急性を演出せずに自然な流れでアプリパスワードの作成を促しました。
アプリパスワードの脆弱性について詳しく説明すると、これはGoogleが古いメールクライアントや一部のデバイス向けに提供している16桁の認証コードです。通常の多要素認証では、パスワード入力後にSMSやアプリで生成される追加コードが必要ですが、アプリパスワードはこの第二認証ステップを完全にスキップします。つまり、このコードを入手すれば、攻撃者は被害者のGoogleアカウントに無制限でアクセス可能となります。
攻撃手法の巧妙さは、偽造された@state.govアドレスをCCに含めることで信頼性を演出した点にあります。攻撃者は米国国務省のメールサーバーが存在しないアドレスでもバウンスメールを返さない仕様を事前に把握しており、この技術的知識を悪用しました。
この攻撃が示すセキュリティ業界への影響は深刻です。Google脅威インテリジェンスグループは、ロシア国家支援の攻撃者による組織的な諜報活動の一環として分析しています。このような国家レベルの攻撃者は、長期間にわたって標的を監視し、個人の行動パターンや関心事を詳細に把握した上で攻撃を仕掛けてきます。
今後の脅威展望として、トロント大学のCitizenLabは類似の攻撃手法が拡散する可能性を警告しています。従来のフィッシング攻撃に対するユーザーの警戒心が高まり、より強固な多要素認証が普及する中、攻撃者はより洗練された手法に移行せざるを得ない状況です。
対策の観点では、Googleは高リスクユーザー向けにAdvanced Protection Programを提供しており、これによりアプリパスワードの作成自体が禁止されます。また、FIDO2/WebAuthn準拠のハードウェアセキュリティキーや認証アプリの使用が、SMS認証やアプリパスワードよりも安全性が高いことが改めて確認されました。
この事案は、セキュリティ技術の進歩と攻撃手法の高度化が常にいたちごっこの関係にあることを如実に示しています。多要素認証という防御策が普及した結果、攻撃者はその隙間を突く新たな手法を開発し続けているのが現状です。
【用語解説】
多要素認証(MFA)
パスワードに加えて、SMSコード、認証アプリ、生体認証などの複数の認証要素を組み合わせるセキュリティ手法。単一のパスワードのみでは防げない不正アクセスを防ぐ。
アプリ固有パスワード(アプリパスワード)
Googleが生成する16桁の特別なコードで、古いメールクライアントや一部のデバイスがGoogleアカウントにアクセスする際に使用される。多要素認証の第二認証ステップをスキップするため、セキュリティ上の弱点となる可能性がある。
ソーシャルエンジニアリング
技術的な脆弱性を突くのではなく、人間の心理や信頼関係を悪用して機密情報を入手するサイバー攻撃手法。フィッシングメールや偽装電話などが代表例である。
FIDO2/WebAuthn
World Wide Web Consortium(W3C)が策定したパスワードレス認証の国際標準規格。公開鍵暗号を使用し、フィッシング攻撃に対して高い耐性を持つ。
TOTP(Time-based One-Time Password)
時刻ベースのワンタイムパスワード生成アルゴリズムで、30秒ごとに新しい認証コードを生成する。Google Authenticatorなどの認証アプリで使用される。
【参考リンク】
Google Threat Intelligence(外部)
Googleが提供する脅威インテリジェンスプラットフォーム。AI技術を活用した脅威分析サービス
Malwarebytes(外部)
2006年設立のサイバーセキュリティ企業。マルウェア検出・除去ソフトウェアを開発
CitizenLab(外部)
トロント大学の研究所。デジタル権利とサイバーセキュリティを専門とする
FIDO Alliance(外部)
パスワードレス認証標準の策定を行う業界団体。FIDO2/WebAuthn規格を推進
【参考記事】
How Russian Hackers Bypassed Gmail 2FA Using App Passwords – APT29’s Targeted Email Attack Explained
APT29による2025年4月から6月にかけての攻撃キャンペーンの詳細分析。攻撃手法の段階的解説と500のGitHubリポジトリへの影響について報告している13。
Google says hackers used app specific passwords to bypass MFA in a targeted attack
英国のロシア研究者Keir Gilesを標的とした具体的な攻撃事例を詳述。UNC6293として追跡される脅威アクターの手法と偽装された国務省職員による攻撃プロセスを解説している14。
Russian hackers bypass Gmail MFA using stolen app passwords
2025年4月から6月にかけてのロシア国家支援攻撃者による高度なソーシャルエンジニアリング攻撃の分析。APT29との関連性とアプリ固有パスワードの脆弱性について報告している15。
【編集部後記】
今回の事案を受けて、皆さんご自身のセキュリティ設定を見直してみませんか?特にGoogleアカウントでアプリパスワードを使用されている方は、本当に必要なものか一度確認していただければと思います。
また、普段お使いの認証方法について、SMS認証から認証アプリやハードウェアキーへの移行を検討されてはいかがでしょうか。私たちinnovaTopia編集部も、読者の皆さんと一緒にセキュリティについて学び続けていきたいと考えています。皆さんはどのような認証方法を使われていますか?
