記事本文(要約)
研究者たちは、Googleアカウントの回復用電話番号をブルートフォース攻撃で特定できる脆弱性を発見しました。これにより、フィッシングやSIMスワップ攻撃のリスクが高まる可能性がありました。
この攻撃は、JavaScript無効版の古いGoogleユーザー名回復フォームを悪用するものであったため、現代の防御対策が欠如していました。研究者BruteCatが発見し、電話番号の推測ツールを作成しました。
Googleアカウントの電話番号を特定するには、ユーザーのプロフィール名と部分的な電話番号の情報を使用します。この方法では、IPアドレスの回転を利用して大量のリクエストを発行し、簡単なレート制限を回避します。また、CAPTCHAを迂回するため、BotGuardトークンを利用しました。
この脆弱性は、Googleが伝えられた後、修正され、現在は攻撃が行えない状態になっています。Googleは報告者に5,000ドルの報奨を支払いました。しかし、過去に攻撃が行われたかどうかは不明です。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 09 Jun 2025 15:36:39 -0400
Original URL: https://www.bleepingcomputer.com/news/security/google-patched-bug-leaking-phone-numbers-tied-to-accounts/
詳細な技術情報
この問題に関連する重要な情報を以下に詳しく説明します。
脆弱性の概要
この脆弱性は、Googleアカウントのリカバリー電話番号をブルートフォース攻撃により取得できるものでした。この攻撃は、Googleの古いJavaScriptが無効化されたバージョンのユーザー名リカバリーフォームを悪用することにより可能となりました。このフォームは現代的な悪用防止対策が不足しており、それが脆弱性の原因でした。
CVE番号
具体的なCVE番号は記載されていませんが、一般的にこのような脆弱性はCVE番号を伴う可能性があります。実際のCVE番号は公開情報やセキュリティデータベースから確認する必要があります。
攻撃手法
- 古いリカバリーフォームの利用: 攻撃者は、JavaScriptが無効化された古いバージョンのGoogleユーザー名リカバリーフォームを使用しました。
- IPアドレスの変化によるレートリミット回避: IPv6アドレスを回転させることで、/64サブネット範囲内での何兆ものユニークな送信元IPを生成し、基本的なレートリミット防御を回避しました。
- CAPTCHAのバイパス: ‘bgresponse=js_disabled’パラメータを正規のBotGuardトークンに置き換えて、CAPTCHAをバイパスしました。BotGuardトークンは、JavaScriptが有効なフォームから取得されました。
- ブルートフォースツールの作成: 国別のフォーマットに従って電話番号を生成し、false positiveをフィルタリングするツールを開発しました。
- 部分的な電話番号の取得: Googleのアカウントリカバリー機能を利用して、設定された電話番号の一部を表示させました。また、他のサービス(例: PayPal)のパスワードリセットプロセスからもヒントを得ました。
潜在的な影響
- フィッシング攻撃: 個人の電話番号が漏洩すると、その情報を用いたフィッシング攻撃が可能になります。
- SIMスワップ攻撃: 攻撃者は得た電話番号を利用して、SIMスワップ攻撃を実行し、ターゲットのSMSや通話を乗っ取ることができます。
推奨される対策
- 攻撃ベクトルの除去: Googleは問題のエンドポイントを完全に廃止しました。類似する他の潜在的な脆弱性に対しても適切なセキュリティ対策を実施することが重要です。
- レートリミットの強化: より洗練されたレートリミッティング戦略を採用し、IPv6アドレス回転を利用した攻撃を防ぐべきです。
- CAPTCHAの改善: CAPTCHAの強化や、BotGuardトークンの無効化または改良により、自動化されたリクエストを防ぐ必要があります。
- ユーザー教育: フィッシングやSIMスワップのリスクについてユーザーに教育を行い、個人情報の慎重な取り扱いを促すことが重要です。
