Googleが、Google Workspaceアカウントの作成に必要なメール認証システムを回避できる脆弱(ぜいじゃく)性を修正したと発表しました。この脆弱性によって、ハッカーは正規のドメイン所有者になりすまし、「Googleでサインイン」機能を提供する第三者のサービスに不正にアクセスすることができたとのことです。

Crooks Bypassed Google’s Email Verification to Create Workspace Accounts, Access 3rd-Party Services - Krebs on Security

https://krebsonsecurity.com/2024/07/crooks-bypassed-googles-email-verification-to-create-workspace-accounts-access-3rd-party-services/



Google Workspace security flaw exposed thousands of accounts to hackers - Neowin

https://www.neowin.net/news/google-workspace-security-flaw-exposed-thousands-of-accounts-to-hackers/

メールアドレスでGoogle Workspaceアカウントを作成する場合、ユーザーはそのメールアドレスが自分のものであることを認証する必要があります。しかし、このメール認証手順を回避する方法があったとして、Googleは修正を行いました。Googleによると、メールアドレスを使用してサインインを試行した後、まったく別のメールアドレスを使用して認証することが可能だったそうです。



Googleは影響を受けるユーザーに対して、「過去数週間で、悪意のある人物が特別に作成されたリクエストを使用して、Google Workspaceのアカウント作成フローにおけるメール認証プロセスを回避する小規模な不正キャンペーンを特定しました。これらのユーザーは『Googleでサインイン』を使用して、サードパーティーアプリケーションにアクセスする可能性があります」という声明をメールで送信したとのこと。



セキュリティ専門ブログのKrebsOnSecurityによると、Googleは問題を発見してから72時間以内に修正したそうで、Google Workspaceの不正使用および安全保護担当ディレクターのアヌ・ヤムナン氏は「悪意のある活動は2024年6月下旬から始まり、メール認証なしで作成されたGoogle Workspaceアカウントは数千にのぼるとみられます」と語っています。

実際に、KrebsOnSecurityの読者からは「許可されていないGoogle Workspaceのアカウントが、自分のDropboxアカウントへサインインするのに使われていたようだ」という報告があったとのこと。しかし、IT系ニュースサイトのNeowinは、読者から「Googleは6月下旬に問題があったと主張しているが、すでに6月上旬に問題は生じていた」「2012年と2023年にも同様の問題に直面していた」という報告もあったと述べています。

Neowinはこうした状況を踏まえ、Googleの対応における透明性の欠如を指摘しています。セキュリティ問題の時系列や全容についてより明確で詳細な公開情報の開示を求めると同時に、今後の侵害を防ぐための積極的な対策についての説明も必要だと述べました。また、正式なブログ投稿でこの問題を認めることで、透明性とユーザーの信頼への取り組みを示すべきだと提案しています。