Gmailに差出人を空欄にできるバグ「Ghost Emails」 - フィッシング攻撃などで悪用のおそれ

さらに同氏が調査を進めたところ、「Fromヘッダ」へHTMLタグを埋め込むことで、Gmailにおいてメールの一覧やメールの詳細を表示させたいずれの場合においても、送信者を空欄にし、隠すことが可能であるバグを確認。

データが失われたわけではなく、メッセージのソースから細工されたヘッダ情報を確認できるが、ユーザーインタフェース上では正しく表示されないという。

同氏は、バグを用いて送信者を空欄にし、システムの通知などを装ったメールを送りつけるソーシャルエンジニアリングによって、ユーザーに正規のメールと信じ込ませ、フィッシング攻撃などに悪用されるおそれがあると説明。

いずれのバグについてもGoogleへ報告済みとしており、利用者へ注意を呼びかけている。

（Security NEXT - 2018/11/28 ） ツイート

PR

関連記事

海外拠点従業員のメールアカウントに不正アクセス - サクラ工業
倉庫管理システムに不正アクセス、関係者情報が流出か - マツダ
チャットアプリの従業員アカウントに不正アクセス - フィッシングに悪用
役員の業務依頼を装うフィッシング攻撃で被害 - マリモHD
1月はフィッシング報告数が6.2％増 - URL件数は減少
職員アカウントがフィッシング被害、情報流出のおそれも - 日大
予約管理システムから顧客にフィッシングメッセージ - 福岡のホテル
メルアカに不正ログイン、フィッシングの踏み台に - じほう
フィッシングサイトの撲滅競技 - 2週間で2828件をテイクダウン
ECサイト管理画面に不正アクセス、一部顧客情報が流出 - NSバイオジャパン