20分以内で回復用電話番号を特定可能に
Googleアカウントの回復プロセスに深刻なバグが存在し、第三者がアカウント所有者に通知せずに回復用電話番号を特定できる可能性があったことが明らかになりました。この問題は、セキュリティ研究者のbrutecat氏によって発見され、Googleに報告されたのち修正されています。
この脆弱性を悪用すると、回復用電話番号を利用したさまざまな不正行為に繋がる可能性があり、ユーザーのプライバシーとセキュリティに大きなリスクをもたらすものでした。
複数のプロセスを組み合わせた“攻撃チェーン”
brutecat氏は自身のブログで詳細を公開していますが、今回の脆弱性はGoogleアカウントの回復機能に存在する一連の処理を悪用する形で成立していました。具体的には、対象アカウントの表示名を特定し、Googleが設けているbot対策の制限を回避しながら、回復用電話番号の全組み合わせを自動的に試すという「攻撃チェーン」によって成り立っていたとのことです。
この過程をスクリプトで自動化すれば、電話番号の桁数にもよりますが、20分以内に正しい番号を割り出すことが可能だったといいます。
TechCrunchによる実証テストで成功
TechCrunchは検証のために新たにGoogleアカウントを作成し、未使用の電話番号を設定。その上でbrutecat氏にメールアドレスを提供したところ、短時間で正確な電話番号を特定されました。報告の際、同氏は「bingo :)」というコメントと共に成功を伝えてきたといいます。
このように、匿名のGoogleアカウントであっても、回復用電話番号が特定されれば、SIMスワップ攻撃などを通じてアカウント乗っ取りが現実的な脅威となります。電話番号に紐づいたアカウントであれば、パスワードリセットコードをSMSで送信させることで不正アクセスが可能になるためです。
Googleは迅速に修正、報告者に報奨金も
GoogleはTechCrunchの取材に対し、「この問題はすでに修正済みであり、セキュリティ研究者コミュニティとの連携を非常に重要視している」とコメント。報告者にはバグ報奨金として5,000ドル(約78万円)が支払われたことも明らかにしました。
「このような脆弱性報告のおかげで、私たちは迅速に問題を発見し、ユーザーの安全を守ることができます」と、Google広報担当のキンバリー・サムラ氏は述べています。現時点では、この脆弱性が実際に悪用された証拠は確認されていないとのことです。
今回の件が示すセキュリティの重要性
今回のケースは、普段見落とされがちな「回復用情報」の取り扱いがいかに重要かを改めて浮き彫りにするものです。アカウントに紐づいた電話番号やメールアドレスといった情報は、たとえ非公開に設定していても、特定の脆弱性を通じて外部に漏れるリスクがあるという現実を示しています。
Googleのような大手サービスにおいても、脆弱性の発見と対処は常に継続的に行われるべきであり、今回のような研究者との協力はその重要な一環となっています。ユーザー側も、自身のアカウント情報やセキュリティ設定を定期的に見直すことが求められます。
