GoogleのGmail・G Suiteでなりすましメールに関する脆弱性が報告される

GoogleのGmailとG Suiteに、電子メールのなりすましに関する脆弱性があったことを、セキュリティ研究者のアリソン・フセイン氏がブログで報告しています。

The Confused Mailman: Sending SPF and DMARC passing mail as any Gmail or G Suite customer :: Ezhes — tale of the tailed z
https://ezh.es/blog/2020/08/the-confused-mailman-sending-spf-and-dmarc-passing-mail-as-any-gmail-or-g-suite-customer/

Google fixed email spoofing flaw 7 hours after public disclosureSecurity Affairs
https://securityaffairs.co/wordpress/107360/hacking/google-email-spoofing-flaw.html

フセイン氏がGmailおよびG Suiteで発見した脆弱性は、「メールの送信経路を設定する際に十分な検証が行われない」というものでした。この脆弱性はGmail・G Suite特有のもので、攻撃者はこの脆弱性を悪用してGmailおよびG Suiteのユーザーになりすました電子メールを送信することができるとのこと。

また、フセイン氏が行った実験では、この脆弱性を悪用して送信されたメールは、Sender Policy Framework(SPF)やDomain-based Message Authentication, Reporting and Conformance(DMARC)といった送信ドメイン認証を回避することができるそうです。実際にフセイン氏は、テスト用に作成したG Suiteのアカウントを使用してなりすましメールを送信することに成功しています。

フセイン氏は2020年4月1日の時点で脆弱性を発見しており、2020年4月3日にGoogleへ報告しました。Googleは脆弱性の存在を認めたものの、修正が行われなかったことからフセイン氏は2020年8月1日にGoogleに対して「脆弱性を2020年8月17日にブログで公開する」と通知。2020年8月14日にGoogleは「2020年9月17日に修正パッチをリリースする」とフセイン氏に連絡しましたが、フセイン氏は2020年8月19日に自身のブログで記事を公表しました。Googleはフセイン氏の公表から約7時間後にフセイン氏が公表した脆弱性をすべて修正しています。

フセイン氏はGoogleの対応について「私はこの脆弱性を修正パッチがリリースされる前に公開しましたが、Googleのセキュリティチームは全プロセスを通じて親切であり、私がバグを公開することを抑制したり制限したりすることはなかったので、Googleに対する悪意は全くありません」とコメントしています。

なお、Googleでは2020年8月20日(木)に全世界でGmail・Google ドキュメント・Google ドライブなどのサービスでファイルのメール作成やアップロードの不具合といった大規模な障害が発生していましたが、フセイン氏が発見した脆弱性との関連性は明らかになっていません。この障害は日本時間で2020年8月20日の20時頃に復旧しています。