PANewsは4月17日、Bitcoin.comによると、ENSの主任開発者ニック・ジョンソン氏が、Googleのシステムの脆弱性、特に最近修正されたOAuthの脆弱性を悪用した高度なフィッシング攻撃を明らかにしたと報じた。ジョンソン氏によると、攻撃者はまず、Googleの法務部門を装った詐欺メールを送信し、受信者のアカウントが召喚状に基づく調査の対象になっていると虚偽の主張をしたという。これらのメールには実際の DKIM デジタル署名が付いており、Google の公式の no-reply ドメインから送信されているため、Gmail のスパム フィルターを簡単に回避できます。ジョンソン氏は、sites.google.com 上の偽のサポートポータルにつながるハイパーリンクによって、この詐欺の信憑性が高まったと指摘した。この偽の Google ログイン ページでは、2 つの重大なセキュリティ上の脆弱性が露呈しました。1 つは、Google Sites プラットフォームで任意のスクリプトの実行が許可され、犯罪者が認証情報を盗むページを作成できることです。もう 1 つは、OAuth プロトコル自体に欠陥があることです。
ジョンソン氏は、グーグルが当初この脆弱性を「設計通り」扱ったことを非難し、この脆弱性が深刻な脅威をもたらすと強調した。さらに悪いことに、偽のポータルは信頼できるドメイン名 sites.google.com を隠れ蓑として使用しているため、ユーザーの警戒心が大幅に低下しています。さらに、Google サイトの不正使用報告メカニズムは不完全であるため、違法なページをタイムリーに閉鎖することが困難です。世論の圧力を受けて、Google はついに問題があったことを認めました。ジョンソン氏はその後、GoogleがOAuthプロトコルの欠陥を修正する予定であることを確認した。セキュリティ専門家は、ユーザーに対して、警戒を怠らず、予期しない法的文書には疑いを持ち、資格情報を入力する前に URL の信頼性を再確認するようアドバイスしています。
