Googleを装う電話とメール、認証コード同期により13万ドルのフィッシング被害が発生した事例
(bewildered.substack.com)- あるユーザーが、Googleサポートを装った電話とlegal@google.comを偽装したメールによってフィッシング被害を受けた体験を共有
- Google Authenticatorのクラウド同期機能により、攻撃者が二要素認証コードまで奪取し、Coinbaseアカウントのハッキングと暗号資産の窃盗が発生
- 約40分で8万ドル相当の暗号資産(現在価値で約13万ドル)が盗まれたという被害
- Gmailのセキュリティ上の弱点とAuthenticatorのデフォルト同期設定が被害拡大の要因として指摘されている
- パスワードの定期的な変更、認証コードを共有しないことなど、基本的なセキュリティ対策の順守とクラウド同期設定の慎重な利用を助言
1本の電話から始まった詐欺事件
- 6月19日、'Pacifica, CA'の市外局番(650)から着信
- 相手はGoogleサポートチーム所属だと名乗り、申告されたアカウント譲渡リクエスト(死亡診断書やIDの添付まで含む)に言及
- 実物そっくりのlegal@google.comアドレスからのメール(送信者名はNorman Zhu)を送り、公式メールのように見せて信用させた
- iOSのGmailアプリでは**@google.com送信者表示**やブランディング、ケース番号などにより精巧に偽装されていた
- 死亡確認を口実に一時的な認証コードの確認を求められ、一瞬の不安からコードを渡してしまった
攻撃者によるCoinbaseアカウントへのアクセス
- 通話の終盤には、Google Advanced Securityへの登録を促す案内などで被害者を安心させた
- 被害者はセキュリティを強化したと思っていたが、攻撃者はすでにGmail、Drive、Photos、および同期されたAuthenticatorコードへのアクセス権を確保していた
- Google Authenticatorのクラウド同期を通じて2FAコードまで奪われたことが決定打となった
- その直後、攻撃者はCoinbaseアカウントにログインし、暗号資産の窃盗を開始
暗号資産の窃盗と被害の詳細
- 約40分の間に、攻撃者は複数の取引を通じてETHおよびその他のトークンを分散送金した後、全額を奪取
- 当時の金額で約8万ドル、現在基準で約13万ドル相当の損失
- 2時間後にCoinbase残高を確認すると、残高がほぼ0になっており衝撃を受けた
- Googleアカウントに表示された新しいデバイスからのアクセス履歴や、復旧用電話番号の変更も追加で確認された
セキュリティ専門家でも被害に遭い得た理由
- IT業界で働いており、自分自身も認証体験の設計者だと明かしている
- セキュリティ意識は高かったが、偽装メールと緊急事態の演出によってフィッシングへの対応に失敗した
Googleの2つの重大なセキュリティ上の失策
- 「@google.com」偽装送信メールのフィルタリング失敗
- メールのFromフィールドをスプーフィングできたため公式メールのように見え、iOSのGmailアプリでは完全なヘッダーを確認できず即座の検証が難しかった
- Google Authenticatorのクラウド同期がデフォルトで有効
- 同期された2FAコードを攻撃者が取得し、実際の二段階認証の有効性が無力化された
- メール、2FA、文書、写真などデジタル資産全体が一度に露出する結果となった
- 参考: GmailとGoogle Authenticatorを一緒に使うユーザーにとって、2FAは本質的に安全ではない可能性があるという警告
セキュリティ対策と助言
-
今日すぐにパスワードを変更し、定期的に更新すること(16億件以上のパスワード流出事故が継続)
-
認証コードは絶対に共有しないこと(攻撃者は「緊急性」と「不安」を利用して心理操作する)
-
Google Authenticatorのクラウド同期は慎重に利用すること
- 復旧のしやすさは高まるが、運用上のリスクも伴う
-
不審な電話には常に警戒すること
- 不安を感じたらすぐに通話を切り、公式の経路から再度アクセスすることを推奨
-
この事件が警鐘となり、類似被害の防止に役立つことを願っている
補足説明と状況
- 攻撃者は最近の16億件規模のパスワード流出リストから、すでにパスワードを入手していた可能性がある
- 被害者自身は同一パスワードを使い回しておらず秘密も守っていたが、パスワードを長期間変更していなかった
- 攻撃者は復旧コードを受け取ることで2FA認証を回避したと推定される
フィッシングメールについて
- legal@google.com名義のメールを多数受信したが、攻撃者がメールの痕跡、ゴミ箱、復旧記録まですべて完全に削除した
- ただし、一部メールをphishing@google.comに転送した後、アカウント権限を取り戻す過程で返送されたメールを通じて原文の保存に成功
- phishing@google.comというメールアドレスは実在しないか、外部からはアクセスできない
- 元のメールは「Google Recent Case Status」という件名で、公式フォーマットや命名、内部レビューの案内、一時パスワード保管に関する案内文などで構成されていた
- 「Norman Zhu」というサポート担当名義、ケース番号、部署情報が含まれていた
全体の要約
- 精巧ななりすまし攻撃とプラットフォームの構造的欠陥が組み合わさって発生した、大規模なアカウント乗っ取りと暗号資産被害の事例
- 二要素認証も安全地帯ではないことを改めて示すケース
- 従来のセキュリティ常識に加え、プラットフォームレベルのポリシー見直しとサービスごとの差別化されたセキュリティ設定の必要性が浮き彫りになった
1件のコメント
Hacker Newsの意見
先週の金曜日に自分も似たような電話を受けた。もっともらしく聞こえた。自分が使っているコツは、チケット番号と公式の折り返し番号を求めて、本当にその会社の番号か確認すること。本物なら会話を続けてもいいし、そうでなければ安心して切れる。電話の相手は「公式であることを証明するメールを送れる」と言っていたが、折り返し番号を教えなかったので、すぐ詐欺だと分かった。メールアドレスや電話番号はいくらでもスプーフィングできる。発信者番号が正常でも絶対に信用せず、必ず公式番号にかけ直して確認すべきだ
自分は電話番号すらその場では受け取らず、必ず相手に会社名と支店名を聞いたうえで、会社の公式サイト(例: https://amazon.com)から自分で番号を調べて電話している。少し面倒だが、ずっと強力な防御になる
公式番号も検索で確認するときは注意が必要だ。偽番号が本物っぽいサイトに載って検索結果へ紛れ込んでいることがある。本当に銃も刃物もない戦場だ
「正規の番号でも発信者IDには意味がない」という話の通り、自分も数年前、銀行から電話が来て本人確認のために個人情報を求められたとき、まさにそう言ったことがある
「公式電話番号」は良いアイデアだが、もし攻撃者がSS7にアクセスできるなら役に立たない方法だ
繰り返し覚えておくべき点
大企業のカスタマーサポートがこちらに直接電話をかけてくることは絶対にない
誰かが電話やメールでコードを求めてきても、SMSで受け取った認証コードは絶対に教えないこと。メッセージにもたいていそう書いてある
重要な個人情報を1つのパスワードだけで守らないこと。Googleアカウントに連動した Google Authenticator をパスワード管理代わりに使わず、1Password のようなサードパーティ製の利用を勧める
銀行・投資用のメールアドレスと世間に知られているメールアドレスは必ず分けること。Chrome のプロファイルもメールごとに分け、拡張機能もパスワードマネージャ以外は外しておく
ただ、数週間前に検索では出てこない番号から銀行サポートを名乗る電話が来たことがある。SMSで届いた認証コードを読んでくれと言われて断ったら、オンラインバンキングがロックされ、後日「サポート担当者とやり取りしなかったため自動でアカウントをアップグレードできない」というかなり強い文面の手紙が実際に届いた。結局アプリで新しいアカウントを作って彼らに電話し、SMSコードをまた読み上げたところ(!)、それが新規アカウント認証の唯一の手続きだった。世界の上位100行に入る銀行がこんな運用をしている。企業のほうが人を詐欺に慣らしている感じがする。ドイツ系の銀行だったが、Chase も同じように電話でOTPコードを求める癖がある
Google Nest Thermostat の省エネ設定の解除を依頼したとき、カスタマーサポートに認証コードを求められたことがある(この設定は電力会社が節電目的で温度を制御する機能)。自分は「メッセージに教えるなと書いてある」と言って断ったら、サポートは別の方法を案内してきた。そもそも要求自体がおかしかった
Chase 銀行は最近まで、詐欺アラート関連で電話してきた際にこういうコードを求めていた。本当に腹立たしい点だ
自分は普段、携帯を「おやすみモード」にしている。直系家族5人だけ着信音が鳴るようにしてあり、知らない番号には絶対に出ず、本当に急ぎならボイスメールを残してもらう。電話に出ると、その場では冷静に判断できなくなる気がする。道で道案内を頼んで時計を盗む手口に似ている。セキュリティが主目的ではなかったが、営業電話やハッカーにさらされない点でも良い
残念ながら、一部のコールセンターでは本人確認のため、実際に電話をかけるとSMSやメールでコードを送り、それを読み上げさせる方式を本当に採用しているところがある
今回の攻撃は単純なソーシャルエンジニアリングに見え、メールのスプーフィングはなかったようだ。実際に Google が公式に送ったメールだった可能性が高い。推測だが、攻撃者は正式な Google アカウント回復手続きを要求し、その手続きで Google からコード入りのメールが送られたのだろう。被害者がそのコードを読み上げたことで、攻撃者は Google アカウント(そして Gmail、Google Drive にバックアップされた認証アプリまで)に完全にアクセスしたように見える。メールの生ヘッダを見てみたい
legal@google.com から送られたというメールは本物には見えない。第1段落と第2段落の書き出しに文法ミスもあるし、法務部門のメールでそんな基本的な誤字や句読点の誤りがあるのはあり得ない。本当に公式メールなら必ず校正されているはずで、偽物だ
もしメールが攻撃者の送信だったなら、なぜ被害者がコードを教える必要があったのか理解できない
「Coinbase のパスワードリセット」だなんて、Gmail を銀行、暗号資産、ドメインなど重要サービスとひも付けて使うのは本当に危険だ。自分も Google のパスワードは知っているのに、二要素認証に阻まれてアクセスできない状況になっている
知らない番号なら常に疑うべきだし、何かおかしいと思ったら通話を切って自分から会社に連絡し直すべきだ、という助言に同意する。考えてみれば、電話が来ると予想していないときはほとんど電話に出ないので、そのおかげで多くの詐欺を避けられている気がする。Google が Authenticator のコードをクラウド同期していたせいで、結局攻撃者が Gmail、Drive、Photos、認証アプリのすべてにアクセスできた点はがっかりだ
普段は知らない番号の電話には出ないのだが、数日前に「Amazon の社員」を名乗って、自分のアカウントで6万円相当の iPhone が決済されたと電話が来た。本人確認のためだと言って「最近注文した商品は何か」と聞いてきたので、こちらも相手の正体確認をしようとしたが、向こうは終始要領を得なかった。20分も話した末に、結局向こうが悪態をついて切った。同時に周囲でも同じような詐欺電話をしている激しい雑音が聞こえていた。こんなに長く話した理由が自分でもさっぱり分からない
こういう詐欺で最も明白な危険信号は「サポートのほうから先に連絡してくる」点だ。本当に急ぎの用事で本物のサポートに連絡したいときには、なかなかつながらないのに
最近の自分のルールは、知らない番号は必ず留守番電話に送ること。重要ならメッセージと番号を残してもらい、本当に必要ならこちらからかけ直す。医療機関や配送など、どうしても出る必要がある場合だけ例外にしている。そんなふうにふるいにかけている
自分は1〜2秒ルールを使っている。電話に出てハローと言い、1〜2秒以内に返事がなければ切る。詐欺師は通話キューから接続されてくるので少し待ち時間があるし、スクリプトも頭に入れなければならず反応が遅い。普通の会話と違って準備時間がかかる。すぐ反応できない電話はスパムである可能性が高い
自分の携帯だけでなく両親の携帯も、知らない番号は完全にブロックする設定にしている。メール詐欺を信じるなと常々言っているが、それでも年に1〜2回は、母が「本物だと思った詐欺メール」で動揺して連絡してくる
電話に出ないのが自分の基本方針だ。実際、「おやすみモード」を有効にしてお気に入りの番号だけ着信を許可している。本当に急ぎの人(正規でも詐欺でも)はボイスメールを残せばよい。その会社を名乗るなら自分で確認する。こうした事例は、自分が依頼していない電話にはどれほどもっともらしくても、そもそも会話を始めないのが正しいと示している。そして Google アカウントには決して機密情報を置かない。技術業界の経験があれば、それがどれほど危険か誰でも分かるはずだ
自分もスパムコールの危険性はよく分かっている。わざわざ説明されなくてもよい。ただ、「銀行のセキュリティ部門」のようなところが、本当に詐欺の警告電話をしてくる場合もあるという前提を、あまりに簡単に切り捨てている気がする。自分が銀行の番号を認識できなかっただけかもしれないし、それが正解とも言い切れない
政府や銀行から、本当に重要な件で電話が来た経験はある(納税申告のミスなど)。だから絶対に出ないのが正解だとは思わない。ちなみにヨーロッパではボイスメールはあまり使われず、アメリカ特有の文化のように思える
メールアドレスのスプーフィングがなくても、暗号資産の窃取はいくらでも可能だ。犯罪者が銃で脅してシードフレーズを要求することもあり、実際そういう事例はかなりある。だから伝統的な銀行のほうが暗号資産よりずっと安全だ。こうした経験を共有した投稿者は立派だが、暗号資産が安全な資産保管手段ではないことこそ本当の教訓であってほしい
それでも、銃を持って家まで押しかけるより電話をかけまくるほうがずっとスケーラブルだ
それでも Hacker News らしく、銃で脅す話はそもそも論点ではないという意見だ
暗号資産のセキュリティにはマルチシグが有用だ。たとえば 2-of-2 で銀行など信頼できる機関と署名権を共有すれば、普通の銀行より安全になることが多い。3-of-5 のように複数の鍵を使えば、ハードウェアトークンに誤ったPINを入力したときに鍵が消去されるような強要にも備えられる
解決策はマルチシグウォレットだ。また、複数人の同意が必要な出金構造は浪費へのブレーキにもなる。複数人が関係者だと逆に危険になることもあるが、オフラインのコールドウォレットを使えば、ハッキングに数時間かかるようにして時間を稼ぐこともできる
https://xkcd.com/538/ の漫画も参考になる
最も決定的な問いは、なぜ攻撃者が銀行/年金/クレジットカードまで荒らさなかったのか、という点だ。現実には銀行のほうが顧客口座のハッキングにずっと神経質だ
「銀行が気にする」という言葉の本当の意味は、たとえば合理的な対策を取っていたなら、口座が荒らされたときに補償する方針がある、ということだ。そのため銀行側も高額詐欺にはずっと強く注意を払う。参考までに、10か月前には Coinbase-Google Authenticator の組み合わせが最高のセキュリティだと言っていた Reddit スレッドがある コインベースのハッキング事件 Reddit スレッド
一方で、こうした理由から銀行などが、ロック機能の強いスマホアプリだけでのバンキングを半ば強制するのも問題だ。利用者を信用しなさすぎる空気と、自己責任を押し付ける姿勢との中間点がほとんどない
銀行や証券口座からの送金には時間がかかる。その間に詐欺に気づいて通報すれば口座を凍結できるので、即時の損失は防ぎやすい
実のところ、銀行はそこまで気にしていないという意見もある
事件の流れが曖昧で、よく理解できない。単に2FAコードだけですべてを奪われたのだとしたら本当に深刻な問題だ。漏えい済みのパスワードが原因かもしれないし、パスワードの使い回しなのか、あるいは単に Google アカウントが露出していたのかも気になる。もし2FAコードだけで Google アカウント → 認証アプリ → パスワードマネージャまで全部突破されたのなら、連鎖的に他サービスの二要素認証まで崩れる可能性がある。この過程でパスワード再利用があったかどうかが一番気になる。参考までに、自分は Google で働いているがセキュリティチームではない
自分の考えでは、攻撃者はすでに自分のパスワードを持っていて、最終的に電話で読み上げた回復コードだけが必要だったのだと思う。パスワードを共有したことも再利用したこともないが、長い間変更してはいなかった
パスワードが分かっていて、なおかつメールと2FAコードを支配できれば、パスワードリセットであらゆるアカウントを掌握できる
投稿には具体的な技術説明が不足しているが、2025年になっても Google が「よく似た」 @google.com メールをまともにブロックできないのだとしたら不安だ。Unicode スプーフィングが原因なのか、あるいは DKIM などの認証がなかったのか、そもそもアカウント自体が侵害されていたのかも不明だ。全体的に話のつじつまが合わない
Unicode ドメイン名という発想自体、うまく機能したことがない気がする。現実にはこうした機能を使うのはほとんど詐欺師と犯罪者だ。ICANN に皮肉を言いたくなる
その投稿では、どうやって google ドメインから送られたように見せたのかが抜けているのが不思議だ。本人はセキュリティ業界だと言っているのに詳しい説明がない点も妙だ
「Coinbase の口座に何十万ドルも置いておくな」という助言がないことを指摘している
自分は Coinbase と壊れたハードディスクの2か所に暗号資産を分けて保管していたが、いまそのハードディスクを復旧できずにいる
そもそも暗号資産には投資しないことを勧める。投機と資金洗浄以外に実質的な価値を見いだしにくく、リスク要因が大きい