米Googleは現地時間2017年5月5日、「Google Docs」の共有機能を悪用したフィッシング攻撃を確認したと発表した。連絡先情報が不正にアクセスされる危険性があるという。

 Googleの説明によると、問題のフィッシング手口は、知人から送られてきたGoogle Docsの共有ドキュメントへの招待状を装っている。

 偽の招待メールを受け取ったユーザーがリンクをクリックすると、共有ドキュメントを開くためにユーザーのアカウントへのアクセスを許可するよう求められる。アクセスを承認すると、攻撃者はユーザーの連絡先情報に不正アクセスし、連絡先リストに同様の偽招待状を送信する。

 Googleはこの手口を確認するとすぐに行動を起こし、自動および手動の措置によって1時間位内に攻撃を遮断したと報告している。攻撃者のアカウントを無効化したほか、偽装ページおよびアプリケーションを削除し、「Safe Browsing」「Gmail」「Google Cloud Platform」をアップデートして保護機能を強化した。

 Googleは影響を受けたユーザーを「0.1%未満」と述べているが、具体的な影響範囲や攻撃者の正体は明らかになっていない。

 Googleはユーザーに対し、セキュリティ診断ツール「Google Security Checkup」を使って、身に覚えのないアプリケーションやデバイスのアクセスがないか確認すること、GmailなどのGoogleサービスで表示される警告に注意を払うこと、不審な電子メールやコンテンツを見つけたらGoogleに報告することを勧めている。

[発表資料へ]