IMG_0241

GmailとGoogle ドライブの連携機能に、深刻なセキュリティ上の問題が存在する可能性が浮上しています。

セキュリティ研究機関Pentera Labsによる報告では、本来Gmail側で危険と判定されたファイルが、Google ドライブ経由なら送信できてしまうという「設計上の不整合」が確認されたとされています。

しかも問題なのは、そのファイルに「Gmailによりスキャン済み」という表示まで付いてしまう点です。

利用者から見れば、安全確認済みの添付ファイルにしか見えません。

30億人規模のGmailユーザーに関わる問題だけに、海外でも大きな波紋を呼んでいます。



GmailとGoogle ドライブで何が起きたのか

今回問題視されているのは、GmailとGoogle ドライブ間の「信頼関係」です。

通常、Gmailには危険な添付ファイルを検出・ブロックする仕組みがあります。

悪意ある実行ファイルやマルウェアが含まれている場合、「ウイルスを検出」という警告が表示され、送信自体が止められます。

ところがPentera Labsの研究では、同じ危険ファイルでもGoogle ドライブにアップロードして共有リンク化すると、Gmail経由で送信できてしまうケースが確認されました。

つまり、

  • Gmailでは危険判定
  • しかしGoogle ドライブには保存可能
  • さらにGmailから共有可能
  • しかも「Gmailによりスキャン済み」と表示

という流れが成立してしまいます。

これは単なる仕様ミスではなく、「セキュリティ設計のギャップ」と指摘されています。


問題視されている「スキャン済み表示」の危険性

今回もっとも危険だとされるのが、「Gmailによりスキャン済み」という表示です。

多くのユーザーは、この文言を見れば「Googleが安全確認したファイル」と認識します。

しかし実際には、Google ドライブ経由のファイルが再スキャンされていない可能性があります。

つまり、危険ファイルでも「安全そうに見えてしまう」のです。

フィッシング詐欺やマルウェア攻撃では、「ユーザーに警戒されないこと」が非常に重要になります。

今回の問題は、その「信頼」そのものを逆利用できる点が深刻視されています。

セキュリティ研究者ベン・イルカシ氏は、この状態を「攻撃者にとって究極の信頼性」と表現しています。


なぜGoogle ドライブ経由だと送れてしまうのか

研究報告によれば、Gmail側がGoogle ドライブ内部のファイルを「信頼済み」として扱っている可能性が高いとされています。

つまり、

  • Gmail → 外部添付は厳格チェック
  • Google ドライブ → 既に安全確認済みと想定

という処理になっているとみられています。

その結果、本来ブロック対象だったファイルが、Google ドライブの「安全なコンテナ」という扱いを受けてしまいます。

これはクラウドサービス連携時によく問題化する「信頼継承型リスク」の一種です。

近年は、

  • クラウドストレージ
  • 社内共有サービス
  • コラボレーションツール

などが攻撃経路として悪用されるケースが増えています。

今回の問題は、その代表例ともいえるでしょう。


実際に確認された攻撃手法

Pentera Labsは、概念実証(PoC)としてランサムウェア型ペイロードの動作確認まで行っています。

検証では、

  • XORベース暗号化
  • 特定ファイルの自動暗号化
  • Google ドライブ共有
  • Gmail送信

までが実際に成立したとされています。

もちろん公開されたものは研究目的のPoCです。

しかし研究者は、「動機を持った攻撃者なら容易に応用可能」と警告しています。

特に危険なのは、企業ユーザーです。

Google Workspaceは世界中の企業で利用されています。

もし社員が「Googleのスキャン済みだから安全」と誤認すれば、組織内部への侵入経路になりかねません。


グーグル側の回答と現状

グーグル側は、「危険な実行ファイルの大半は引き続きブロックしている」と説明しています。

また、

  • UI表示の改善
  • 安全性表示の見直し
  • Drive共有時の警告強化

などを進めているとしています。

一方で、研究者側は「根本問題は未解決」と指摘しています。

報告によれば、この問題はすでにGoogle Bug Huntersプログラム経由で共有済みです。

ただし、修正時期については現時点で明示されていません。

つまり、完全対策前の「空白期間」が存在する可能性があります。


Gmailユーザーが今すぐ注意すべきポイント

今回の問題を踏まえると、ユーザー側でも警戒が必要です。

特に以下は意識しておきたいポイントです。

不審なGoogle ドライブ共有は安易に開かない

送信元が知人に見えても注意が必要です。

アカウント乗っ取り経由の可能性もあります。

「スキャン済み」を過信しない

表示だけで100%安全とは限りません。

添付拡張子や共有意図も確認したいところです。

実行ファイルは基本的に開かない

以下の形式は特に慎重に扱うべきです。

  • .exe
  • .svg
  • .zip
  • .js
  • .scr

二段階認証を有効化する

万が一フィッシングに遭っても、防御力を高められます。

セキュリティソフトを最新化する

OS標準機能だけに依存しないことも重要です。


まとめ

今回明らかになったのは、Gmailそのものの脆弱性というより、「Google ドライブとの連携設計」に潜むリスクです。

問題なのは、

  • 危険ファイルが送信可能
  • 「スキャン済み」と表示
  • ユーザーが信用しやすい

という3点が重なっていることにあります。

GmailとGoogle ドライブは、世界で最も利用されるクラウド基盤の1つです。

だからこそ、わずかな設計不整合でも影響範囲は極めて大きくなります。

現時点では、Google側による完全修正は確認されていません。

今後しばらくは、「Google経由だから安全」と思い込まない慎重さが必要になりそうです。


記載の情報は執筆時点の一般情報であり、最新の詳細は公式をご確認ください。

「重大な脅威」グーグルがセキュリティ上の失態、30億のGmail利用者が危険に
…Gmail製品担当バイスプレジデントのブレイク・バーンズ自身によれば、「30億人のユーザーが、つながりを持ち、物事を進めるためにGmailを利用して…
(出典:Forbes JAPAN)