Gsuiteやgoogleのファンサイト

Google,GAFA関連ニュース

Google

Googleは、攻撃者がなりすましメールを送信することを可能にする可能性のあるGスイートとGmailに影響を与えるセキュリティバグを修正しました / Google

投稿日:

水曜日、複数のユーザーがGmailのサービスを利用するのに苦労している間、GoogleはGmailとG Suiteに影響を与える重大なセキュリティバグを派遣しました。このセキュリティバグにより、攻撃者は G Suite や Gmail ユーザーを模倣したなりすましメールを送信する可能性があります。セキュリティ研究者のアリソン・フセインは、このバグを発見し、今年の4月にGoogleに報告しました。Husain によると、このバグにより、脅威アクターは、送信者ポリシー フレームワーク (SPF) およびドメイン ベースのメッセージの認証、レポート、および準拠 (DMARC) に準拠した偽装された電子メールを渡すこともできます。SPF と DMARC は、2 つの最も高度な電子メール セキュリティ標準であることに注目してください。

また、このバグを修正するのに 137 日かかることにも注意してください。当初、同社は開示期限を過ぎてパッチを遅らせた。Googleは今年の9月にこのバグを修正する予定でした。しかし、水曜日に、アリソン・フセインはこのバグの詳細を発表し、Googleのエンジニアは考えを変えなければなりませんでした。フセインはまた、概念実証の悪用コードを公開しました。同社は9月にこの問題の修正を行う予定でしたが、Husainのブログ記事が公開されてから7時間以内にこのバグを利用する攻撃をブロックするための緩和策をGoogleが展開しました。ただし、最終パッチは 9 月に展開されます。G Suite と Gmail のユーザーは、同社がサーバー側でパッチを展開しているため、変更を加える必要はありません。

セキュリティ研究者によると、このバグは、DMARCまたはSPF規格を使用してブロックすることができる古典的な電子メールのなりすましと同一ではありませんでした。Husain氏はブログ記事で、このバグはGoogle固有のバグであり、攻撃者はSPFやDMARCなどの最も制限的なルールを通過しながら、なりすましメールを送信できるということです。ブログ記事によると、なりすましメールはGoogleのバックエンドから発信されているため、通常のスパムフィルタによってキャッチされる可能性は低かったという。

アリソン・フセインは、G SuiteとGmailサービスを有効にするためのGoogleのバックエンド構造により、脅威アクターが受信メールをリダイレクトし、「エンベロープ受信者の変更」機能を使用して人物の身元を偽装できるようになる可能性があることを発見しました。一度悪用されると、アリソン・フセインは、このセキュリティバグがカスタムルーティングルールを使用してG SuiteとGmailバックエンドのゲートウェイになりすましメールを送信する可能性があると説明しました。パッチを適用していないままにしておけば、このセキュリティバグにより、スパム送信者が標的型ハッキングを設計することができ、マルウェアの配布業者やBEC詐欺師によって広く採用されている可能性があります。バグが公開される前に、同社はこの問題にもっと注意を払い、修正する必要があります。

-Google

Copyright© Google,GAFA関連ニュース , 2024 All Rights Reserved Powered by STINGER.