GoogleのOAuth認証の欠陥を利用して他人になりすます方法をセキュリティ企業が解説
セキュリティ企業のTruffle Securityが、GoogleのOAuth認証に見つかった欠陥について報告しています。この欠陥は、倒産したスタートアップのドメインを購入した第三者が、そのドメインを使って以前の従業員のアカウントに不正アクセスできてしまうというものです。 Millions of Accounts Vulnerable due to Google’s OAuth Flaw ◆ Truffle Security Co. https://trufflesecurity.com/blog/millions-at-risk-due-to-google-s-oauth-flaw Truffle Securityは発見した欠陥を検証するため、実際に倒産企業の1つのドメインを購入し、ChatGPTやSlack、Notion、Zoom、人事システムなど、その企業が使用していた様々なSaaS
「Googleでサインイン」の重大な脆弱性が指摘される
セキュリティー企業Truffle Securityは1月14日、グーグルの認証システム「Googleでサインイン」に重大な脆弱性があることを明らかにした。倒産したスタートアップ企業のドメインを購入することで、元従業員のアカウントに不正アクセスできる可能性があるとしている。 同社は実際に倒産企業のドメインを購入し、ChatGPT、Slack、Notion、Zoom、HR systemsなど複数のサービスで元従業員のアカウントにアクセス可能であることを実証。サービスによっては、税務書類、給与明細、保険情報、社会保障番号などの機密情報も閲覧できたという。 脆弱性の影響範囲についてTruffle Securityは、現在購入可能な倒産スタートアップのドメインは10万以上あるとした上で、米国ではテック系スタートアップの90%が最終的に倒産し、50%が「Google Workspace」を使っていると
誰でもアクセスできるURLで情報を共有するリスクについての考察
Webサービスでは誰でもアクセスできるURLを発行する機能を持つものが多くあります。例えばGoogle Driveの共有設定で「リンクを知っている全員」にするとか、Notionで「Web公開」をするなどです。非公開URLやリンク共有などと呼ばれることもあります。お手軽に誰でもアクセスできるようになるのは便利なのですが、当然漏れてはいけない情報が漏れるというようなセキュリティリスクもあります。 意外と人によってリスクの捉え方が違っているので、改めて情報や思考の整理をしてみようと思います。 この記事は株式会社オプティマインドによる「Optimind Advent Calendar 2024」の11日目の記事です。 前提 本記事では、主に企業や団体において外部に公開されていない情報に対して誰でもアクセスできるURLを発行することについて考えます。 URL発行の是非を主張するものではありません。
「Google ダークウェブレポート」であなたの個人情報漏えいを確認
ダークウェブに個人情報が漏れていないか確認 Q:「Google ダークウェブレポート」ってなに? A:Googleが提供するセキュリティ機能の1つ。ユーザーの個人情報がダークウェブ上に流出していないかどうかチェックする機能を有している。 以前はGoogleの有償ストレージサービス「Google One」ユーザー向けの機能だったが、2024年7月下旬からすべてのGoogleユーザーが利用可能になった。 ユーザーの個人情報(メールアドレスやそれに対応するパスワード、ユーザー名、氏名、住所、電話番号など)がダークウェブで見つかった場合には通知し、漏洩したパスワードの変更などの対処を促す。 なお、ダークウェブをモニタリングするために、氏名や生年月日、住所などの個人情報をあらかじめ登録しておく必要がある。 調査によって自分の個人情報が含まれるデータセットをダークウェブで発見することもあるが、そのデー
再発防止策「Google Forms を使わない」 | ScanNetSecurity
株式会社Brave groupは7月31日、6月25日に公表した同社グループが運営するオーディションでの個人情報流出について、調査結果を発表した。 同社グループで利用している Googleドライブ で管理するファイルにて、同社グループである株式会社バーチャルエンターテイメントの「ぶいすぽっ!JP オーディション」の応募者用Google Form に回答された内容が、同Formの「編集用URL」を知る第三者が閲覧可能な状態であったことが6月25日に判明していた。
Googleフォームの設定ミスによる情報漏えいが多発~あなたのフォームは大丈夫? 原因となる設定について解説~ - ラック・セキュリティごった煮ブログ
デジタルペンテスト部の山崎です。 4月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併されまして、ペンテストのペの字も知らない私も晴れてペンテスターと名乗れる日がやってまいりました!(そんな日は来ていない😇) そんなわけで、新しい部署が開設しているブログのネタを探す日々を送っていたのですが、最近、Googleフォームの設定ミスによる情報漏えい事故が増えてきているようです。 どのような設定が問題となっているのでしょうか? 同じような事故を起こさないよう、設定項目について見ていきたいと思います。 情報漏えいの原因となりうるGoogleフォームの設定について Googleフォームから情報漏えいとなっている事例を見てみると、大きく分けて以下の2パターンのいずれかが原因となっているようです。 1.表示設定で「結果の概要を表示する」が有効に設定されている ある
生成AIの弱点が相次ぎ発覚 ChatGPTやGeminiがサイバー攻撃の標的に 情報流出や不正操作の恐れも
米OpenAIの「ChatGPT」やGoogleの「Gemini」など、主要生成AIの弱点や脆弱性が次々に発覚している。企業や個人の日常生活に浸透している生成AIが悪用されれば、社外秘情報や個人情報の流出を招いたり、悪用防止対策がかわされて偽情報の作成に利用されたりする恐れもある。 イスラエルのベングリオン大学の研究チームは、生成AIとユーザーの間に割り込んでデータパケットを傍受し、AIの回答内容を高い精度で復元する攻撃に成功したと発表した。この攻撃は、生成AIがユーザーの質問に回答する際のデータ処理に存在する脆弱性を突いている。 (関連記事:他人がGPT-4とやりとりしたテキストを盗む攻撃 成功率50%以上 イスラエルの研究者らが発表) ChatGPTなどの生成AIがユーザーの指示や質問に対して答えを返す際は、文章を単語や文字ごとにトークン化し、個々のトークンを連続的にユーザーに送信して
なぜGmailだけ届かなかった? 高校出願システム問題、神奈川県に詳しく聞いた
神奈川県の公立高校入試のインターネット出願システムで、「@gmail.com」ドメインのアドレスにシステムからのメールが届かず、受験生による登録や高校出願に支障が出ていた問題が、2月7日までに解消した。問題発生から完全解消まで1カ月かかっている。 県は問題の原因について「システム開発を委託した業者の設定に不備があったため、メール送信が集中したタイミングでGmailに迷惑メールと判定されたのでは」と説明しているが、設定のどこが問題だったかは特定できておらず、Googleに問い合わせても回答がないという。 ネット上では今回、業者の技術力を疑問視する声も出たが、担当者は「県が仕様書を出して技術確認を行い、仕様に対応できるとのことで入札で決めた。問題ないと考えている」と述べている。 「@gmail.comだけ」突然の障害、メールシステムを変えるなど対応 出願システムは1月4日に公開。メール配信サー
グーグルアカウントでパスキーを設定する方法--パスワード不要で安全・簡単にログイン
パスワードレス認証は、ユーザー名とパスワードを使う従来の認証方法よりはるかに安全性が高い。基本的には、デバイス、例えばスマホ上で暗号鍵を使ってアカウントにログインするという仕組みだ。この手法を用いると、アカウントが悪意のあるユーザーによってハッキングされる可能性は大幅に低下する。しかも、自分のアカウントにログインするときに長ったらしいパスワードを入力する必要もなくなる。ログイン試行についてスマホ上で「OK」を押せば、それだけでログインできるのだ。 パスワードレス認証なら、従来の認証に対する一般的なハッキング手法、例えば総当たり攻撃、クレデンシャルスタッフィング、フィッシング、キーロギング、中間者攻撃などを回避できる。 ありがたいことに、Googleの(自分のアカウントで完全なパスワードレスが実現する)パスキー作成プロセスは簡単だ。その方法と、設定すべき理由を紹介しよう。 ただし、この設定で
メール診断ツール「mail-tester」でGmailに届かない神奈川県立高校の出願システムのメールを診断してみた | DevelopersIO
迷惑メール判定サービスの mail-tester を利用して神奈川高校入試出願サイトのメールを診断。 SPF、DKIM、DMARCなど送信者ドメイン認証や、SPAM判定される要素が無い満点の診断結果であっても、Gmailにメールが届かない原因を推察してみました。 神奈川県立高校の入試出願システムで、Gmailへメールが届かない問題が再発しました。 令和6年1月24日14時掲載(第1報(新)) 本日より募集期間となりましたが、@gmail.comのメールアドレスのみを登録している志願者に、出願システムからのメールが遅延している、あるいは届かない不具合が発生しています 神奈川県公立高等学校入学者選抜インターネット出願システムの稼動状況について 以前、出願システムから送信されるメールにYahooメール、Gmailに届いたメールより、送信者ドメイン認証などは正しい事を確認できていました。 Gmai
Gmailのメール送信者のガイドライン対応に不備があったらどうなるの? - Qiita
gmail送信者ガイドラインへの対応方法はこの1ヶ月で多くの記事が出てきましたので、そちらを参考に。 今回は、対応に不備があった場合に何がおこるかと、不備の有無の確認方法についてについてまとめました。 まとめ 2024年2月時点では、まだメールは届くよ。 DMARCレポートは確認しようね。 2024年2月から対応不備の有無を計測しよう。 2024年4月からメールが届かなくなり始めるよ。 2024年6月までにはワンクリック配信停止も(必要なら)対応しようね。 Googleが提示している今後のタイムライン いつから影響出るかはGoogleから提示されています。 What is the timeline for enforcement of sender guidelines |Google Workspace Help 2024年2月:ガイドラインの一般的な電子メール送信慣行に従う必要がありま
【さくらのレンタルサーバ / マネージドサーバ】DKIMおよびDMARC対応予定に関するお知らせ(2024年1月23日 10:00更新) | さくらインターネット
【さくらのレンタルサーバ / マネージドサーバ】DKIMおよびDMARC対応予定に関するお知らせ(2024年1月23日 10:00更新) お客さま各位 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 「さくらのレンタルサーバ」および「マネージドサーバ」において、DKIM※1およびDMARC※2の対応を、2024年1月末日までに実施することを決定いたしました。 また、詳細な提供開始日が確定次第、改めてお知らせをいたします。 ■2024年1月23日 追記 2024年1月31日11:00から順次提供開始とすることが確定いたしました。 詳細は下記をご参照ください。 さくらインターネットでは、今後もよりよいサービスの提供が行えますよう、精一杯努めてまいります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。 ※1 DomainKeys Identified Ma
Gmail への転送エラーを回避する方法 | IIJ Engineers Blog
本記事で紹介する方法は、企業や組織のセキュリティポリシーで禁止されていることがあります。利用前に必ず組織の管理者にご確認ください。技術的に利用可能だったとしてもルールで禁止されている場合があります。 本記事の内容は便宜のために公開しており、無保証・非サポートです。IIJ のお客様でも、Gmail についてのサポート窓口へのお問い合わせはご遠慮ください。 正確な内容になるよう努めていますが、Google 社の仕様変更やポリシー変更等によって不正確になることもあります。各自の責任においてご利用ください。 以前、当エンジニアブログでも記事になっている通り、2024年 2月から Gmail 宛(※1)のメールは、なりすまし対策として有効な 送信ドメイン認証の対応が必須 となることが告知されています。(→Google, Yahoo の Sender Guidelines について) したがって Gm
Googleフォームを悪用した新しいフィッシング攻撃を確認
Abnormal Securityは12月13日(米国時間)、「BazarCall Attack: Using Google Forms With Call-Back…|Abnormal」において、Googleフォームが高度なフィッシング攻撃に悪用されているとして、注意を喚起した。高度なフィッシング攻撃の一つに、「BazarCall(別名:BazaCall)」と呼ばれるフィッシング攻撃がある。この攻撃には、被害者を誘導して攻撃者と対話(電話)させるという特徴があるが、今回確認された攻撃では、このBazarCall攻撃においてGoogleフォームが悪用されたとみられる。 BazarCall Attack: Using Google Forms With Call-Back…|Abnormal 今回発見されたフィッシング攻撃の手口 従来のBazarCall攻撃ではフィッシングメールにより標的か
Gmailが2024年2月から(大量)送信者に求めてることが分からない闇への防衛術(前編) - Qiita
メールの世界にGmailさんが新たな闇を投入 (インターネットの)メール受信・送信は闇あふれる世界だと思うのですが(*1)、そこに 2023年10月7日、新たな闇要素をGmailさんが投げ込んでくれました。(正しくは2023/12月頭現在、闇がモリモリ増えてる。補足①②参照) (*2 最下部キャプチャあり) えーと、「1日あたり 5,000 件を超えるメールを送信する送信者」はこの事項を守ってね……とあります。要件と書いてあり、2024/2/1から実施と急なうえに、項目が SPFとDKIMの設定 逆引き 迷惑メール率 メール形式 Gmail の From: ヘッダーのなりすまし ARC DMARC ダイレクトメールの場合(……なんとかかんとか) 登録解除 と9個もある。 何これ……?と様々な人を戸惑わせています。 インターネットにつながっているそこそこの規模の組織は、1日あたり 5,000
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Google Chrome」に新たなセキュリティ対策機能が導入 ~Googleが解説/Webサイトに1回だけアクセス許可を与える機能などを導入
「Google One」不要の無料「ダークウェブ レポート」、ようやく提供が開始/ハッカーに盗まれた個人情報が裏で売り買いされていないかを簡単にチェック
Googleが「ダークウェブ レポート」を無料開放、誰でも自分の個人情報が売買されているか確認可能に/新ツール「あなたに関する検索結果」と統合
Gmailに届かない…Google「メール送信者ガイドライン」に約3分の2の企業が対応していない現状【デージーネット調べ】 | Web担当者Forum
グーグル認証「Google Authenticator」、Google アカウントへバックアップできるように
