Gmailのユーザーの皆様、ご注意ください!ファイル添付ファイルのダウンロードにおける深刻な脆弱性と、新たなタイプのフィッシング詐欺が最近明らかになりました。
添付ファイルをダウンロードする際に「これらの言葉」が表示された場合は、決して信じないでください!クリックすると、システムが瞬時に侵害されます。
昨日、ニュースを閲覧していたところ、非常に衝撃的な見出しが目に留まった。Gmailが、警戒すべきセキュリティ上の脆弱性を発見したという内容だった。
私はタイトルにその言葉を見てすぐにピンときた。「Gmailスキャンで確認済み」私の頭の中で警鐘が鳴り響き、何が起こっているのかすぐに知りたくなった。
具体的にどのような脆弱性があるのでしょうか?
研究者ベン・イルカシ氏による実証実験:彼は既知のウイルスファイルをGoogleドライブにアップロードし、リンク経由で送信した。それでもGmailには「セキュリティチェックに合格しました」と表示された。
脆弱性をテストするために、彼はGmailによって既にウイルスとして識別され、通常であればシステムによってブロックされるはずの悪意のあるファイルを意図的にGoogleドライブにアップロードし、その後、ドライブリンクを介して他のアカウントに送信した。
調査結果によると、Gmailはメールをブロックしなかっただけでなく、「セキュリティチェックに合格しました」と表示し、まるで問題が全くなかったかのような誤った印象を与えていたことが判明した。
⚠️ 最も致命的な欠陥: 警告メッセージが突然消えてしまう!
報道によると、Gmailは通常、添付ファイルのセキュリティを確認できない場合、「このファイルをスキャンできません。自己責任でダウンロードしてください。」という警告メッセージを表示するはずだ。しかし、最新のテストでは、この重要な警告メッセージが完全に消えてしまった!
つまり、ユーザーは「スキャン済み」という文字を見ると、警戒心を緩めてしまう可能性が高い。その結果、ダウンロードボタンをクリックするだけで、ウイルス感染やマルウェアによる直接的な侵入につながる恐れがある。
✅ Googleは、この脆弱性の存在を正式に確認しました!
Googleは脆弱性の存在を公式に認め、現在修正プログラムの開発に尽力していることを強調した。また、Google Workspaceユーザーのセキュリティ保護が最優先事項であることを改めて表明した。
通常、GmailとGoogleドライブは、悪意のある実行可能プログラムを含むほとんどの危険なファイルを自動的にブロックできます。
今回の事件は、すべてのユーザーにとって厳しい教訓となるでしょう。たとえメールに「セキュリティスキャンに合格」と表示されていても、決して油断してはいけません。特に、見知らぬ送信者からのGoogleドライブのリンクは非常に危険です。添付ファイルをクリックしたりダウンロードしたりしないでください。そうすると、アカウントデータの漏洩につながるだけでなく、デバイスがマルウェアの標的になる可能性もあります。
私自身もかつて似たような錯覚に怯えたことがあります。先月、「プロジェクトレポートをアップロードしました」という件名のメールが届き、ドライブのリンクが添付されていたのです。
緑色のチェックマークが見えたのでクリックしてダウンロードしたのですが、開いてみると暗号化された実行ファイルでした。システムはすぐに警告を表示しましたが、幸いにもウイルス対策ソフトがインストールされていたので問題ありませんでした。ソフトウェア即座に傍受した。その瞬間、私は「表面的なセキュリティ」の危険性を痛感した。ほんの少しの不注意が、システム全体をハッカーの攻撃に晒してしまう可能性があるのだ。
この新たなタイプの攻撃に対して、我々の防御策は実に単純明快だ。
- 見慣れないドライブリンクはクリックしないでください。送信者がよく知っている同僚や友人でない場合は、まずチャットで確認するか、社内システムで直接ファイルを検索してください。
- ファイル情報を手動で確認する:ドライブページを右クリックして「詳細」を選択し、ファイルサイズ、作成日時、所有者などを確認し、異常がないか注意深く確認してください。
- 二段階認証を有効にする:たとえハッカーがあなたのアカウントのパスワードを入手したとしても、二段階認証がなければ、Googleアカウントに直接ログインすることは非常に困難になります。
- セキュリティ設定を最新の状態に保つ:Google管理コンソールで、「すべての外部リンクに対する高度な脅威対策」オプションを有効にしてください。これにより、Googleはドライブリンクも含め、より徹底的なスキャンを実行できるようになります。
- セキュリティログを定期的に確認しましょう。Googleアカウントにログイン後、「セキュリティチェック」ページを開いて、最近のログイン履歴や不審なアクティビティを確認してください。何か異常な点が見つかった場合は、すぐにパスワードを変更してください。
もう一つ注目すべき点は、こうした脆弱性は公表されるとすぐにハッカーによって悪用されることが多く、特に企業ユーザーを標的としたフィッシング攻撃で悪用されることが多いということだ。
多くの企業では「社内メールのみを開く」ことを標準的な手順としているが、外部パートナーはGoogleドライブを介してファイルを共有することが多いため、「コラボレーション」と「セキュリティ」のバランスを見つける必要がある。
私の提案は、外部のドライブリンクを受け入れる必要がある場合は、相手にファイルを圧縮ファイルとして直接送信してもらうか、社内のファイル転送システムを使用して、公開されているドライブリンクをできる限り避けることです。
冒頭のメールに戻りますが、当初は短い事例研究として共有するつもりでしたが、結果的にそれ自体が警告となる内容になってしまいました。
さて、私がこれを書き留めているのは、あなたがITのエキスパートであろうと、普通の会社員であろうと、「セキュリティチェックに合格しました」という表示を見たときに、「これは本当に安全だろうか?」と自問自答してほしいからです。もし不安なら、安易にクリックしないでください。
最後に、皆様にお願いがあります。本日中に受信したすべてのGoogleドライブのリンクを確認し、不審な点がないかチェックしてください。もし何か不審な点が見つかった場合は、すぐにチャットで送信者に通知するか、セキュリティチームに直接報告してください。
このレベルの注意深さを日々の習慣に取り入れることで、時間の経過とともに、あなたのアカウント、デバイス、そして会社のデータのセキュリティも向上するでしょう。
ここまで読んでいただき、この記事が役に立ったと感じられた方は、ぜひ「いいね!」やシェアをお願いします。セキュリティ情報や技術的なヒントをいち早く入手するには、私のWeChat公式アカウントをフォローしてください。ぜひフォローボタン(⭐)を押してくださいね!読んでいただきありがとうございました。また次回お会いしましょう。
Hope Chen Weiliang ブログ ( https://www.chenweiliang.com/ ここで紹介されている記事「Gmailの添付ファイルダウンロードに脆弱性?これらの言葉をクリックしないでください、さもないと完全にハッキングされます!」が参考になるかもしれません。
この記事のリンクを共有することを歓迎します。https://www.chenweiliang.com/cwl-34155.html