Gmail事件の真相 漏えいはなかったのか？

本誌は「Gmailに危機　最大25億人の情報漏えい」という記事を掲載した。その後、Googleがこれを否定するような内容を発表した。Gmailからの漏えいはあったのか、なかったのか、実際は何が起こったのだろうか。

[畑陽一郎，キーマンズネット]

　Googleは2025年9月1日（現地時間、以下同）、「Gmail」から大規模な情報漏えいがあったという報道について声明を発表した。「最近、Gmailのセキュリティに関する重大な問題について、当社が全てのGmailユーザーに広範な警告を発したという誤った主張が幾つか見受けられた。これは全くの誤りだ」という内容だ。

なぜGmailが疑われたのか

　Googleがこのような声明を出すに至った経緯は複雑だ。2025年6月以降、GoogleやGmailを狙ったサイバー攻撃が成功しており、これがGmailに対する不信感につながっていた。

　発端は2025年6月5日に同社が公開した「通話の代償：音声フィッシングからデータ強要まで」というブログだ。ここには「UNC6040」と呼ばれる金銭を目的としたサイバー犯罪集団が、ITサポートをかたる音声を用いた「ビッシング攻撃」を仕掛けらたことが記されている。

　Salesforceに悪意のあるアプリケーションを接続することをビッシング攻撃で承認させた結果、被害企業のSalesforce環境に犯罪者が侵入し、一部の情報が流出した。これはGoogle Threat Intelligence Group（GTIG）の報告であり、具体的な攻撃手法や攻撃後の展開の他、攻撃の影響範囲が記されていた（関連記事：Salesforceから社内ネットワークへ侵入、被害が急増する音声フィッシング攻撃とは）。

　2025年8月5日にGoogleはこのブログの内容に追記した。それによれば、2025年6月、Googleの従業員がビッシング攻撃を受けた結果、GoogleのSalesforceインスタンス内の情報がUNC6040によって一部流出したという。ただし、流出したのは中小企業向けの連絡先情報や関連メモなど、一般の第三者が通常の手段で比較的簡単に入手できる可能性がある業務情報にとどまっており、被害は短時間かつ限定的だったという。

　さらに2025年8月8日には、8月5日に追記したUNC6040の攻撃の影響を受けた取引先などへのメールでの通知を完了したと書き加えた。

ビッシング攻撃とは何だろうか

　ビッシング攻撃は電話を利用した詐欺の一種だ。ボイスフィッシングを略してこのように呼ぶ。犯罪者が銀行や公的機関、ITサポートの職員になりすまし、電話口で個人情報やパスワードを聞き出す手口が最も多い。

　さらに詐欺メールやSMS（スミッシング）で攻撃者側の連絡先を伝えて、被害者に折り返し電話をかけさせるという手口もある。実際に犯罪者が話しかけるのではなく、生成AIによる偽の音声を使うこともある。

　Googleを狙ったビッシング攻撃はこのような単純な手口ではなかった。Googleが実際に受けた攻撃の詳細な手口は公開されていないものの、他社の事例からは次のような流れだったと考えられる

・Google職員に電話
　攻撃者がITサポート職員などを装い、セキュリティの緊急対応が必要だなどとGoogleの従業員に電話する。

・アプリの承認を要求
　Google職員に対してSalesforceで特定のアプリケーションを接続できるよう承認を要求する。

・認証を通す
　電話を受けた職員か管理者権限を持つ別従業員にOAuth認証＊やアカウント許可を実施させる。この結果、攻撃者が内部のデータへアクセス可能になった。

　Googleの場合とは異なるものの、犯罪者のアクセス権限を昇格させたり、リモート操作アプリのインストールを要求したりして、さらに幅広くデータを盗み出す場合もある。

＊OAuth（Open Authorization）は認証プロトコルの一種だ。ユーザーのIDやパスワードをサービスに直接提供することなく、安全にアカウント情報へのアクセスを許可する標準的な手段として広く利用されている。パスワード認証とは異なり、サービスごとにユーザーがIDとパスワードを登録する手間が省けることや、アクセス権限の範囲（スコープ）を細かく設定できる点が特長だ。

Salesforceを狙った別の攻撃が発生

　2025年8月8日〜同8月18日には別のサイバー攻撃が発生した。Salesforceではなく、Salesloftが提供する営業チーム向けのセールスエンゲージメント・プラットフォーム「Salesloft」を狙ったサイバー攻撃だ。

　Salesloftは2024年2月にDriftというリアルタイムのチャットや会話AIを提供するAIプラットフォームを買収しており、「SalesDrift」として提供中だ。このSalesDriftを介してOAuthトークン（アクセストークンとリフレッシュトークン）が盗み出された。OAuthトークンは一般企業がDriftとSalesforceを連携させるために使う。この結果、攻撃者が被害者のSalesforce環境にAPI経由で不正アクセスした。被害を受けた企業からすると、これは一種のサプライチェーン攻撃だったことになる。

　2025年8月27日、Google（GTIG）は攻撃者が「Drift Email」との連携に使うOAuthトークンを侵害していたことを発表した。その結果、Driftと連携するように設定していたごく少数の「Google Workspace」アカウント（Gmail）で、攻撃者がメールへアクセスした。Googleは影響を受けたユーザーを特定して、被害を受けたOAuthトークンを無効化した。Driftとの連携機能も一時的に無効化した。

　Driftを経由したサイバー攻撃ではGoogle以外にもPalo Alto NetworksやZscaler、Cloudflareなどが被害を受けた。

　2025年8月下旬に入ると、米国の複数の著名な媒体が25億人のGmailユーザーが影響を受ける可能性がある、またはGoogleが全ユーザーに警告を出したと報じ始めた。トレンドマイクロも2025年9月3日に「最大25億人のGmailユーザ情報が漏えい」と発表した。

　これはGoogleのSalesforceインスタンスが攻撃を受けたこと、Salesloftとの連携でGoogle Workspaceアカウント（Gmail）にアクセスされてしまったことを拡大解釈したためだと思われる。

ユーザーはどうすればよいのか

　結局、Gmailからの大規模なデータ漏えいがあったことは確認されておらず。GoogleもDrift関連以外でGmailからデータ漏えいがあったとは発表していない。Googleは2025年9月1日の発表で、ユーザーに届くフィッシング詐欺やマルウェアの試みの99.9％以上をブロックしているとした。

　ただし、これはGmailユーザーが何もしなくてよいということではない。Gmailのユーザーが25億人だったとしよう。その場合0.1％は250万人だからだ。

　GoogleはGmailの保護を強化するためにパスキーのような技術を利用するように薦めている。同社はフィッシングメールを回避する方法も紹介している。

Googleが薦めるフィッシングメール回避法

　Googleはフィッシングメールを避ける方法を5つ、フィッシング対策に役立つツールも5つ公開している

　フィッシングメールを避ける方法は、「Googleからの警告に注意する」「個人情報の要求には応じない」「メールのリンクをクリックした後、パスワードを入力しない」「緊急を装うメールや、うますぎる話のメールに気をつける」「クリックする前によく考える」だ。

　メールのリンクをクリックした後、パスワードを入力しないとはどのような意味だろうか。これはリンクをクリックした後でGmailやGoogleアカウント、他のサービスのパスワードを入力するよう求められた場合は、情報を入力しないという指針だ。その代わり、サービスを提供するWebサイト自体に直接アクセスしよう。

　フィッシング対策に役立つツールは「Gmailを使用してフィッシングメールを特定する」「Chromeでセーフブラウジングを使用する」「保存されている安全でないパスワードを確認する」「Googleアカウントのパスワードを保護する」「2段階認証プロセスについて理解する」だ。

　保存されている安全でないパスワードを確認するという機能は2025年から日本のユーザー向けにも提供された新しい機能だ。漏えいした可能性のあるパスワードや使い回しているパスワード、脆弱（ぜいじゃく）なパスワードを検出してくれる。一度は試しておくべきサービスだろう。