あなたのGmailをすべて盗まれる, Googleの巨大なセキュリティホール

次の記事

急成長非公開企業の社員が第二市場で株を売らずに流動性を手に入れるには?–137 Venturesがその答

記事の最後のアップデートを最初に読んでください。

Facebookならたぶん、これを機能として実装したいだろうが、われわれ一般ユーザにとっては大きなセキュリティホールだ。今朝(米国時間11/20)、http://guntada.blogspot.com(今はまだ、ここへ行ってはいけない!)の作者が、説明のメールをくれた。

Googleのアカウント(Gmailなどなど)にログインしている状態で、上のサイトへ行くと、Googleのメールアドレスすべて盗まれる。そして盗んだ証拠に、ただちにそれらをメールしてくる。

“匿名”モード(別名: ポルノモード)でもやられる。

どういう手口か? それは分からない。Googleからの返事もまだない。分かったのは、この悪質行為をやっているサイトはGoogleのブログプラットホーム上にある、ということだ。あるデベロッパも、困り果ててこう言っている:

どんな手口かは分からないが、Friend Connectと関係があると見て間違いないだろう。複数のiFrame間でデータを受け渡ししているのだ(だから確かにOpenSocial関連だ)。手口が何であれ、これは非常に重大なセキュリティ侵犯とプライバシー侵犯だ。Googleがただちに、数分以内で対策する、と信じたい。

大手IDPのWebサイトで過去にこんな事件はなかったと思う。とても、怖いね。

どうしても試してみたい人は(ぼくも試したけど!)、返ってくるメールがたぶんスパムフィルタにかかっていることに、注意しよう。

これはそれほど危険な手口ではないが、自分のサイトでやってみたいと思う人は多いだろう。Googleにログインしている人のメールを横取りできることは、誰が今ログインしているか分かることはもちろんだが、それ以外にも大きな価値がある。1か月前のApp Engineの問題に関連した、このコメントスレッドを読んでみよう。

アップデート: 問題のサイトは今ダウンしている。こんな画面だ:

アップデート2: ‘犯人’のVaheからのメール:

Hi Mr. Arrington,

すでにこのニュースを共有されたようですね。Googleにはたぶん分かると思うが、どうやってやったかを一般に公開したくはない(Googleから連絡があれば教えるが、まだぼくからのメールに返事をくれない)。それは完全に、Googleだけの問題だ。

問題は、多くの人にこの件について聞いてみたけど、理解しない人や気にしない人がほとんどであること。しかも大企業は、セキュリティやプライバシーは完璧だと思い込んでいる。完璧ではなくて、ただ、問題を誰も知らないし誰も気にしていないだけなのに。

それでは。
Vahe G. (Googleが相手にしたくないと思っている21歳のアルメニア人の男の子)より。

アップデート3: Googleより: “セキュリティ問題の可能性には非常に真剣に対応しています。弊社のチームは、これを積極的に調べています。また、あらためてご連絡申し上げます”。Googleは直接、Vaheに接触すべきだろう。彼自身は、話したいようだから。

アップデート4: Googleによれば、問題は解決した: “Google Apps Script APIの問題箇所を早急に修復いたしました。GmailのユーザがGoogleのご自分のアカウントにログインしている状態である特別な設計のWebサイトを訪れると、ユーザの許可なくメールが送られてしまうのは、この問題が原因でした。弊社は、この問題を実証しているサイトをただちに削除し、その直後にその機能を不能化しました。アプリケーションのセキュリティ問題の可能性に関する責任ある情報公開を、今後もsecurity@google.comにお送りくださるよう、お願い申し上げます。”

(編集部からの修正とお詫び)記事の見出しに「Gmailをすべて盗まれる」とありますが、正しくはGoogleにログインしている(Gmailの)メールアドレスを盗まれるが正しい表現でした。修正してお詫びいたします。(2010年11月27日)

[原文へ]
[jpTechCrunch最新記事サムネイル集]
[米TechCrunch最新記事サムネイル集]
(翻訳:iwatani(a.k.a. hiwa))