Google Dismiss Reports of Major Gmail Security Alert
2025/09/02 gbhackers — Google からの声明は、”25 億人の Gmail ユーザーに対してグローバルなセキュリティ・アラートを発令した” とする、報道を完全に否定するものであり、”まったくの虚偽” であると述べている。つまり、それらの報道により、世界中のユーザーに不必要な混乱を招いたとされる、いまの状況の迅速な解明へと向けて、Google が動いたことになる。先日の一部の報道では、Google が Gmail ユーザー全員に大規模なセキュリティ侵害の警告通知を送ったと伝えられた。それらの誤報が示唆したのは、数十億のアカウントが影響を受け、ユーザーに対してパスワード変更が促されたという状況であった。しかし、これらの主張が、まったくの誤りであることが判明した。
この混乱の原因は、2025年6月に Google の Salesforce データベースで発生した、限定的なインシデントの解釈ミスから生じたものである。複数のメディアがこれを Gmail 全体の危機と誤って報じ、この誤報の中には、25億人のユーザーが警告を受けたと示唆する報道もあったが、実際には、そのような通知は送られていなかった。
Google の公式回答
2025年9月1日の Google の公式声明は、「Gmail の深刻なセキュリティ問題について、すべてのユーザーに警告を発したという報道は、まったくの誤りである」と指摘し、Gmail のセキュリティ対策が依然として強力であることを強調するものだった。誤情報がユーザーに不必要な不安を与えていることを受け、虚偽の主張にダイレクトに対応するという、同社は異例の措置を講じた。
Google は、「フィッシング攻撃は常に脅威であるが、Gmail の防御機能により、フィッシングやマルウェアによる攻撃の 99.9% 以上は、ユーザーの受信トレイに届く前にブロックされていると」強調している。
2025年6月の限定的インシデント
この混乱の原因は、2025 年 6 月に発生した限定的なセキュリティ・インシデントに端を発する。
ShinyHunters とされるサイバー犯罪集団が、音声フィッシング (ビッシング) により、Google 社内の Salesforce データベースに侵入した。この攻撃の手口は、IT サポート・スタッフに成りすまして Google 従業員に電話をかけ、システムにアクセスするというものだった。
侵害されたのは、会社名/メールアドレス/電話番号などの、中小企業向けの基本的なビジネス連絡先の情報に限定されており、パスワード/財務データなどの、機密性の高い個人情報は漏洩していない。
そのときの Google は、数時間以内に侵入を検知/無効化しており、2025年8月初旬までに影響を受けた関係者に通知している。また、Salesforce への侵害は Gmail アカウントや Google のコアメール・インフラには直接影響していないが、盗まれた連絡先情報は、企業を標的とするフィッシング・キャンペーンに利用されていると、同社は説明している。
セキュリティ対策とユーザー保護
Google はユーザー・セキュリティへの取り組みとして、多額の投資と継続的な革新を行い、リスクと対策についての明確なコミュニケーションを実施している。その上で同社は、正確で事実に基づく対話の重要性を改めて指摘している。
誤報ではあったが、この機会を利用して Google がユーザーに再認識させたのは、アカウント・セキュリティのベスト・プラクティスである。同社がユーザーに対し推奨する、アカウント・セキュリティのベスト・プラクティスは以下の通りである:
- Passkeys の利用:デバイスに紐付く固有のデジタル認証情報であり、盗難や共有が不可能であり、フィッシング攻撃に対して強固な保護を提供する。
- 適切な2要素認証:SMS ベースではなく、認証アプリやハードウェア・セキュリティ・キーを使用する 2FA。
また、同社が実施した2要素認証の研究によると、自動化ボット攻撃を 100%/大量フィッシング攻撃を 96%/標的型攻撃を 76% を阻止できるという。
また、今回の一連のインシデントでは、ShinyHunters などの脅威アクターが、Adidas/Qantas/Cisco/LVMH 傘下の複数ブランドなどを標的としており、そこから明らかにされたのは、技術的欠陥よりも人間の脆弱性を、サイバー犯罪者が悪用しているという傾向である。
このインシデントに関する誤報は、サイバー・セキュリティ報道における検証と正確性の重要性を改めて示している。誤情報の急速な拡散は、不必要なパニックを引き起こし、ユーザーを不要な行動に走らせ、正当なセキュリティ警告への感度を低下させる可能性がある。
現在のセキュリティ状況
今回の警告は誤報であったが、Gmail ユーザーは依然として、フィッシング攻撃などのセキュリティの課題に直面している。フィッシング攻撃は進化を続け、AI を用いて説得力を高めた偽メールの作成が増加しており、これまで以上の警戒が必要となっている。
Google の Threat Intelligence Group によると、フィッシングおよび音声フィッシングは、Google プラットフォーム全体で成功したアカウント乗っ取りの、37% を占めているという。
同社はセキュリティ対策を強化し続けており、最近では 1,100 万人以上の Google Workspace ユーザーに Passkeys を提供し、ログイン後の追加保護として Device Bound Session Credentials (DBSC) のオープン・ベータ版を提供している。
今回の Google が、虚偽のセキュリティ主張に断固として対応したことは、ユーザーとの明確なコミュニケーションを重視する姿勢を示している。
2025年6月の Salesforce インシデントは限定的なものであり、報道が示唆したような大規模な Gmail セキュリティ侵害には至らなかった。
今回の事態が改めて示したのは、ユーザーによる公式情報への信頼の維持と、Passkeys や 2FA などのセキュリティ・ベスト・プラクティスへの維持の重要性である。Gmail のセキュリティ・インフラは堅牢であり、脅威の大半は受信トレイ到達する前に遮断されている。
ユーザーに推奨されるのは、Passkeys や 2FA などのセキュリティ対策について常に情報をアップデートし、公式に確認されていないセーショナルなセキュリティ主張に対して、懐疑的な姿勢を持つことである。
この混乱の原因は、技術的な欠陥ではなく “誤報” にあります。Gmail に対して世界的なセキュリティ侵害があったとする報道は誤りであり、現実は Salesforce (Salesloft) データベースが侵入を受けたというものでした。このブログでは、2025/08/30 の Cyber Security News の記事を、「25億人の Gmail ユーザーに Google が警告:Salesforce データ侵害に関する情報の提供と対策の展開」として配信しています。また、同日に gbhacker も「Google Urges 2.5B Gmail Users to Reset Passwords After Salesforce Breach」をポストしていましたし、多くのメディアも同様の記事を配信していたと記憶しています。この件ですが、Google による否定で幕引きとなるのでしょうか?それとも、”誤報” について深堀りされていくのでしょうか? よろしければ、Slaesloft で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.