Local blog for Japanese speaking developers
フィッシングから身を守る
2017年5月31日水曜日
この記事は 不正使用対策テクノロジー ディレクター、Mark Risher による Google Online Security Blog の記事 "
Protecting You Against Phishing
" を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。
大多数のメールユーザーが認識しているように、フィッシング攻撃(信頼されている送信元を装い、ユーザーを欺いて情報を共有させるメール)は広く蔓延している問題です。Gmail では、毎日何百万通ものフィッシング メールが受信トレイに届く前にブロックされるので、安心できます。
今週(*原文公開当時)は、あるメール
フィッシング攻撃
を防ぐことができました。これは、フィッシング メールを広めるために、意図せずに連絡先情報へのアクセスを許可させようとするものでした。私たちは、早急なアクションによって、攻撃者に付与されたアクセス権を無効にし、今後、このタイプの攻撃の亜種による被害を防ぐための対策を実施することができました。
本投稿では、この攻撃の仕組みや対処方法、そして攻撃から身を守る方法を理解していただくために、その背景について説明します。
攻撃の仕組みと対処方法
この攻撃の被害者は、連絡先のいずれかから Google Doc への招待のように見えるメールを受信しています。ユーザーが攻撃者からのメールにあるリンクをクリックすると、攻撃者のアプリケーションが開きます。その際に、Google Doc へのアクセス権付与を装ってユーザー アカウントへのアクセスがリクエストされます。ユーザーがアプリケーションによるアクセスを許可(これは、OAuth と呼ばれているメカニズムによります)すると、ユーザーの連絡先リストに対して同じメッセージが送信されます。
この問題が検知された際に、即座に自動と手動を組み合わせた対策を行いました。その結果、この攻撃は 1 時間以内に収束することになりました。私たちは、偽のページとアプリケーションを削除し、セーフ ブラウジング、Gmail、Google Cloud Platform、その他の不正使用対策システムでユーザーを保護するためのアップデートをプッシュしました。この攻撃の影響を受けたユーザーは 0.1% 未満であり、影響を受けたアカウントのセキュリティも復旧されています。
私たちは、以下を始めとするさまざまな方法でユーザーをフィッシング攻撃から守っています。
機械学習ベースでスパムやフィッシング メッセージを検出します。スパム検知の正確性は、99.9% です。
Gmail や 20 億以上のブラウザで、危険なリンクに対して
セーフ ブラウジング
警告を行います。
動的なリスクベースの方式により、疑わしいアカウントへのログインをブロックします。
メールの添付ファイルに対して、不正なソフトウェアなどの危険なペイロードをスキャンします。
さらに、今後もこのタイプの攻撃に備えるため、ポリシーや OAuth 適用の強制に関するアップデート、今回のような攻撃を防ぐためのアンチスパム システムのアップデート、ユーザーの情報をリクエストする疑わしいサードパーティ製アプリの監視強化など、複数の対策を行っていきます。
ユーザーが自分自身を守るためにできること
私たちは Google アカウントを安全に保つための努力を続けています。また、私たちには、異常な動作を検知するハイジャック対策システムから、悪意のあるコンテンツをブロックする機械学習モデル、Chrome の保護機能、疑わしいサイトへのアクセスをブロックするセーフ ブラウジングまで、あらゆる種類の高度な攻撃から身を守るための保護レイヤーがあります。加えて、ユーザーが自分自身を守るために行えることがいくつかあります。
Google アカウント情報
を確認します。特に、使っていないアプリケーションや端末、知らない端末には注意します。
Gmail などの製品に表示される
警告やアラート
に注意します。
疑わしいメール
や
コンテンツ
を Google に報告します。
ユーザーを守るために G Suite 管理者ができること
OAuth アクセスを付与してしまったユーザーがいる G Suite ユーザーには、個別に通知しています。この件で管理者やユーザーが追加で操作を行う必要はありませんが、G Suite 管理者の方は、全般的なセキュリティを向上させる以下のベスト プラクティスについて検討してください。
現在の
サードパーティによる OAuth API アクセス
を確認し、検証します。
今後の意図しないスコープの付与を検知するために
OAuth トークン監査ログレポート
を実行し、管理者コンソールで
カスタム アラート機能
を使って自動メールアラートを設定するか、
Reports API
を使ってスクリプトを記述します。
組織で 2 段階認証プロセスを有効にし、
セキュリティ キー
を利用します。
アカウントに侵入された可能性があると感じた場合は、
セキュリティ チェックリスト
に従います。
組織に
DMARC
ポリシーを適用して、自社ブランドがフィッシング攻撃に使われることを防ぎます。
S/MIME 暗号化
のルールを
使用
し、強制します。
ウェブ上で安全に過ごすための
おすすめの方法やツール
のリストは、こちらからご覧ください。
Posted by
Eiji Kitamura - Developer Relations Team
ラベル
.app
1
.dev
1
#11WeeksOfAndroid
13
#11WeeksOfAndroid Android TV
1
#Android11
3
#DevFest16
1
#DevFest17
1
#DevFest18
1
#DevFest19
1
#DevFest20
1
#DevFest21
1
#DevFest22
1
#DevFest23
1
#hack4jp
3
11 weeks of Android
2
A MESSAGE FROM OUR CEO
1
A/B Testing
1
A4A
4
Accelerator
6
Accessibility
1
accuracy
1
Actions on Google
16
Activation Atlas
1
address validation API
1
Addy Osmani
1
ADK
2
AdMob
32
Ads
73
Ads API
143
ads query language
2
ads scripts
2
ads search
1
advanced markers
1
Advanced Protection Program
3
AdWords API
25
adwords scripts
2
aerial view api
1
Agency
1
AI
22
AI Agent Summit
1
AIY
3
AIY Vision Kit
2
ALPN
1
AMP
120
AMP Cache
9
AMP Camp
2
AMP CSS
1
AMP Extension
1
AMP Fest
1
AMP for Email
4
AMP Optimizer
1
AMP Packager
1
AMP Playground
1
AMP Plugin
1
AMP SSR
1
AMP Story
4
AMP Toolbox
1
amp-bind
1
amp.dev
1
AMPHTML Ads
1
Analytics
9
Andorid
12
Android
403
Android 10
1
Android 11
20
Android 11 Compatibility
1
Android 11 final release
1
Android 11 meetups
1
Android 9
1
android api
1
Android App Bundle
1
Android App Development
23
Android Architecture
1
Android Architecture Components
1
Android Auto
1
Android Design Support Library
1
Android Developer
14
Android Developer Story
4
Android Developers
13
Android Enterprise
6
Android for cars
2
Android Go
1
Android Jetpack
6
Android N
18
Android O
14
Android Open Source Project
1
Android P
7
Android Pay
1
android privacy
1
Android Q
13
Android Ready SE Alliance
1
android security
6
Android Security Year in Review
1
Android StrongBox
1
Android Studio
47
Android Studio 4.1
1
android study jam
1
Android Support Library
6
Android Things
15
Android Tools
2
Android TV
11
Android Vitals
4
Android Wear
29
android11
6
androidmarket
3
androidstudio
1
AndroidX
6
Angular
2
Angular 2
2
AngularJS
2
Announcements
2
Anthos
2
antmicro
1
AoG
1
aosp
1
API
28
APIExpert
45
apk
2
APM
1
app
3
App Action
1
App Bundle
2
app check
1
app engine
24
App Indexing
7
App Invites
6
App Maker
2
App modernization
1
AppCompat
2
Apps Flutter eBay
1
Apps Script
12
AppSheet
1
aprilfool
4
AR
3
Architecture Components
7
ARCore
3
ArtTech
1
asset-based extensions
2
assets
1
Associate Android Developer Certificate
1
Attribution Reporting
1
Audio
7
Auth Code
1
Authentication
9
AuthSub
2
Autofill
5
AutoML
1
Autotrack
2
award
1
Awareness API
1
basemap
1
basic-card
1
Beacons
6
bento
2
BERT
1
Best Practices
1
beta
4
Better Ads Standards
3
BigQuery
10
Billing
1
Biometrics
1
BLE
4
Blink
1
Blockly
1
blogger
1
BodyPix
1
bootcamp
1
Brillo
1
Brotli
2
Budou
1
budoux
1
Buildbetterapps
2
Business and Leadership
1
C++
1
Calendar
3
call ads
1
campaign
2
campaignsharedset
1
Campus
1
Canvas
1
Cardboard
4
Career
1
Case Studies
1
Case Study
3
CCPA
1
CDS 2020
3
CDS Recap 2020
3
Certificate
8
changestatus
1
chrome
261
chrome 98
1
Chrome Apps
1
Chrome Custom Tab
4
Chrome Dev Summit
5
chrome extension
14
Chrome for Android
2
Chrome for iOS
3
Chrome OS
10
Chrome Root Program
1
Chrome Root Store
1
Chrome Tech Talk Night
4
chrome103
1
chrome104
1
chrome108
1
chrome90
1
Chromebook
5
Chromecast
7
chromewebstore
9
Chromium
20
CLI
1
ClientLogin
3
Closure Compiler
1
Cloud
29
Cloud AI Platform
2
Cloud Firestore
5
Cloud Functions
9
Cloud IoT Device SDK
1
cloud messaging
1
Cloud ML Summit
1
Cloud Next
19
Cloud OnAir
5
Cloud OnBoard
4
Cloud PubSub
1
Cloud Run
1
Cloud Storage
1
Cloud Study Jams
3
Cloud Summit
1
Cloud Test Lab
2
Cloudflare
1
CNN
1
Coalition for Better Ads
2
CocoaPods
1
code review
1
codejam
5
codelab
5
Codepen
1
Colaboratory
1
Common Criteria
1
Community
7
compatibility
1
Compose
1
compose camp
1
compute engine
3
consent
1
Contests
1
Context
1
controls
1
Conversation API
1
conversations
2
conversion
1
Cookie
10
Coral
3
core web vitals
1
COVID-19
2
Crash Reporting
2
Crashlytics
3
cryptography
1
Custom Element
1
Custom Model
1
CWV
2
dark theme
1
Dart
2
data retention
1
DataCenter
1
datacloudsummit
1
Daydream
4
deck.gl
2
Deep Learning
4
Delegation
1
Demo Party
1
Design Patterns
1
Design Sprint
3
DesignBytes
1
Designer
1
DevArt
3
DevBytes
6
Developer
15
Developer Console
4
Developer Library
1
Developer Preview
6
Developer Relations
3
Developer Review
1
Developer Student Club
1
DEVELOPERS
1
Developers Story
4
DevFest
12
DevFestX
3
DevOps
1
devtools
4
Dialogflow
1
Differential privacy
2
Digital Asset Links
1
Digital Goods API
1
directions api
1
DirectShare
1
Discover
1
distance matrix api
1
DNS-over-HTTPS
4
Domain
1
Doodle
1
DoubleClick
4
Doze モード
1
drive
2
DSA
1
DSC
1
DX
1
Dynamic Links
3
EarlGrey
1
Easter Egg
1
ECMAScript 2015
1
Eddystone
4
Edge
1
