Gmailにフィッシング攻撃、一部のアカウントのパスワードが流出
Windows Live Hotmailへの攻撃と同一犯か米国Googleは10月6日、同社の無料Webメール・サービス「Gmail」のパスワードがハッキングされたことを確認したものの、このフィッシング攻撃を受けたアカウントは「少数にすぎない」として冷静な姿勢を見せた。
英国BBCは6日午前、GmailとYahoo! Mailが共に大規模なID窃盗団の標的になったと報じ、以前にこれらのメール・サービスや米国MicrosoftのWindows Live Hotmail、米国Comcast、米国Earthlinkなどから1万〜2万件のパスワードを盗んだのと同じグループによる犯行ではないかとの見方を示した。
Googleの広報担当者は6日、Computerworld米国版の取材に対し、「われわれは最近、ハッカー・グループがWebメール・アカウントからユーザー・クレデンシャルを不正に入手するフィッシング詐欺を確認した。その中には少数のGmailアカウントが含まれていたため、ただちに影響を受けたアカウントのパスワードをリセットした。今後も攻撃を確認しだい、該当のアカウントにパスワード・リセットをかけていくつもりだ」と回答した。
5日に発覚したMicrosoftのケースと同様に、Googleも、Gmailがハッキングされてユーザー名とパスワードが盗まれたのは同社の落ち度ではないと訴えた。「これはGmailのセキュリティの問題ではなく、フィッシングの手法にある」と同社の広報担当者は強調した
GoogleはGmailユーザーに対し、もし自分のアカウントが被害にあったと思われる場合は、パスワードを変更するように指示した。Gmailには、ある1つの質問に答えるだけで自動的にパスワードをリセットする機能があり、「アカウントにサインインできない場合、質問に答えればアクセスを回復できる」という。
昨年には、テネシー州の大学生がYahoo!のリセット・ツールを悪用し、アラスカ州の前知事サラ・ペイリン(Sarah Palin)氏のYahoo! Mailアカウントに侵入したとして告訴される事件があった。ペイリン氏のアカウントが乗っ取られてまもなく、Computerworld米国版は、Hotmail、Yahoo! Mail、そしてGmailに使われているリセット・メカニズムが、アカウントのユーザー名を知っていてセキュリティに関する1個の質問に答えられれば、だれでも簡単にエクスプロイトできることを確認した。
Microsoftは5日夕方、数千件のHotmailアカウントのパスワードがハッカー・グループによって乗っ取られたことを認めたうえで、これらアカウントへのアクセスを遮断すると共に、Hotmailの受信ボックスをコントロールできなくなったユーザーに対策ツールを提供した。
GoogleもMicrosoftも、GmailやHotmailのアカウントにメッセージを送ったり、それぞれのメール・サービスに警告文を掲載して、直接ユーザーに危険性を通知してはいない。
オンラインの個人情報盗難問題に取り組んでいる業界団体Anti-Phishing Working Group(APWG)によると、フィッシング攻撃は増加傾向にあるという。APWGの最新レポートを見ると、フィッシング目的のWebサイトは6月に5万サイト近くに急増しており、2007年4月以降で最多、また同団体が統計を取り始めて以来2番目に多い数だという。
(Gregg Keizer/Computerworld米国版)
