GMAILには攻撃者が対象アカウントに任意のメールフィルタを設定してしまうことが出来る脆弱性があるらしい．それを利用すれば，任意のメールを盗聴したり，パスワードの再設定を行って，そのメールアカウントを奪取してしまうことも可能となる．また，これによって，ドメインをハイジャックすることも出来る．GeekCondition.comのBrandon氏によれば，この脆弱性により，「GoDaddy.com」で登録していたドメインをハイジャックされた人がいるとのこと．

　ただし，Googleは公式にこれを否定している．Googleによれば，「いわれているような脆弱性はGmailに存在しない」とのこと．また，「この脆弱性によって被害を受けたと主張している人は，フィッシング攻撃の被害者であって，GMAILの脆弱性によるものではない」とのこと．

　Hole in Google Mail allows mail to be hijacked - heiseSecurity

　Gmail security and recent phishing activity - Google Online Security Blog

　Google、「Gmailの脆弱性」報告に反論 - ITmedia

　Gmailの「脆弱性」情報--グーグル側はフィッシングと反論 - ITPro

The flaw is essentially a cross-site request forgery (CSRF); in this case, a specially crafted website sets the filter in Google Mail. For the attack to succeed, however, a browser window has to be open with Google Mail, and the victim has to be logged in there when a second browser window pointing to the manipulated website is opened. Once the filter has been set at Gmail, attackers can use the reset function for the victim's domain password to receive an e-mail with instructions to set a new password for the victim's domain. Once the attackers have this new password, they have complete control over the account and the domain, which can then be transferred or released.
---中略---
Users can protect themselves from CSRF attacks with the NoScript plug-in, which attempts to detect and block suspicious requests. NoScript also provides protection from cross-site scripting attacks. Unfortunately, only users of a Mozilla-based browser, such as Firefox, can use this plug-in.
　　　　　Hole in Google Mail allows mail to be hijacked - heiseSecurityより引用

　この脆弱性は，本質的にはCSRF(Cross Site Request Forgeries)である．このケースでは，悪意のあるコードが埋め込まれたWebサイトによってGMAILにフィルターがセットされる．しかし，この攻撃を成功させるには，悪意のあるWebサイトをGMAILで開かなければならない．そして，2つ目のウィンドウでそのWebサイトを開いたとき，ログインされた状態でなければならない．一度，GMAILにフィルターがセットされると，自身のアドレスにメールを転送できるため，メールを盗んだり，メールアカウントのパスワードの再設定によるアカウントの奪取が可能となる．つまり，アカウントとドメインをハイジャック出来る．このCSRF対策としては，Firefoxのプラグインである"NoScript"が有効である．このプラグインを利用することで，疑わしいリクエストを検出，ブロックすることが出来る・・とのこと．

　このように当初はGMAILにCSRF脆弱性がある・・と言われていたのだが，Googleの公式発表によれば，どうやらこれはただ単に「フィッシング攻撃によるもの」らしい．

　だがGoogleは、この問題の原因はGmailの欠陥ではなく、攻撃者がWebドメインオーナーを不正なサイトに誘導して情報を盗むフィッシングの手口にあると説明している。

　「攻撃者はWebドメインオーナーにカスタマイズしたメールを送り、ユーザー名とパスワードを盗むためだけに設置したgoogle-hosts.comなどの偽サイトに誘導した」とGoogleのセキュリティブログで情報セキュリティエンジニアのクリス・エバンズ氏は述べている。

　「これらの偽サイトはGoogleとは何の関係もなく、今はアクセスできなくなっている」と同氏。「攻撃者はユーザー情報を手に入れて、そのアカウントを好きなように書き換えることができた。攻撃者はWebドメインプロバイダーからメッセージを転送するためのメールフィルターを設定していた」
　　　　　Google、「Gmailの脆弱性」報告に反論 - ITmediaより引用

Googleは米国時間11月25日，サードパーティーが「Gmail」の脆弱性を利用して，ドメインをハイジャックしたといわれている件を調査した結果を発表した。いわれているような脆弱性はGmailに見つからなかった，と結論付けている。

---中略---

　しかし，Googleはこの脆弱性の影響を受けたと主張する人を調査した結果，この人たちは（Gmailの脆弱性ではなく）フィッシング攻撃の被害者であると判断したという。Googleの情報セキュリティエンジニア，Chris Evans氏はブログで，次のように説明している。

　「攻撃者は，ウェブドメイン所有者に対し，『google-hosts.com』などの不正なサイトを訪問することを推奨する電子メールを作成し，送りつけた。これらの不正なサイトは，ユーザー名とパスワードを盗む目的で設定されたものだ。これらのサイトはGoogleとは何の関係もなく，現在オフラインになっているものもある。攻撃者はいったんユーザーの情報を入手すれば，影響を受けたアカウントを自分の好きなように変更できる」
　　　　　Gmailの「脆弱性」情報--グーグル側はフィッシングと反論 - ITProより引用

　Googleは脆弱性は見つからなかった・・としている．そして，Googleによれば，今回，この脆弱性によって被害を受けたとしている者は，フィッシングによる被害であるらしい．

ただし，それに対して早速反論も挙がっているようだ．

I have seen this happen to several people. The issue is not phishing.

In all cases, filters were injected into their gmail accounts via other sites while they were logged into, but not at, gmail or other google sites. Their gmail password was not compromised.

Filters are set up to silently forward emails to an outside account, often in Vietnam.

The most common case involves finding a gmail address associated with a domain registered through godaddy. From godaddy's site, they can initiate a domain transfer to another godaddy account that they have set up. The confirmation emails with an easy, one click, "secure" link that godaddy sends to the gmail address they have on file are then silently moved (by the filters) to the attacker's outside email.

With the email, they can click the link and take ownership of the domain. They then transfer it to an external registrar.

Good luck dealing with ICANN if this happens to you.

They often try to ransom the domain back to you. If this happens, you can get the FBI involved.
　　　　　Gmail security and recent phishing activity - Google Online Security Blogより引用

　これはただ単にフィッシングによる被害なのか．それとも，GMAILには何らかの脆弱性が存在するのか．ただ，これが何らかの脆弱性であったとしても，このCSRF脆弱性は高度なソーシャルエンジニアリングを必要とするものなので，ほとんど実害は無い．なので，あまり気にする必要は無いかもしれない．

　あと，余談なのだが，GeekCondition.comのエントリのコメント欄では，XSS脆弱性としている方が多かったのだけど，これはXSSじゃなくてCSRFじゃないのかな．HTTPリクエストの推定によって，フィルターを設定する・・みたいなことをしているから，ようは機能的な問題だろうと思われるので．

追記 2008/11/28 06:20

　Google denies security hole in Google Mail - heiseSecurity

Google quashed suspicions that a vulnerability that came to light in 2007 could still be exploited. Still, Google did not explicitly refute the instructions posted on the GeekCondition blog, explaining how an unauthorised user could define a filter in the e-mail account of another user.
　　　　　Google denies security hole in Google Mail - heiseSecurityより引用

　Googleは公式に「GMAILに脆弱性はない．被害者と考えられている方は，フィッシング詐欺による被害だ」と発表した．また，GoogleはSSLによって守られたHTTP接続(HTTPS)を用いて，かつ証明書の正当性のチェックをきちんと行えば，GMAILユーザーは適切に保護されるだろうと述べている．

　しかし，GoogleはGeekCondition.comのエントリに対して，はっきりとは反論していない．どうやって，権限のないユーザーが他のユーザーのメールフィルターを設定出来たのか．あのエントリは，誤りだったということだろうか．それとも，また別の問題として存在しているのか．

　Gmail Security Flaw Proof of Concept - GeekCondition.com

Geekcondition.comによれば，“Nope they haven’t contacted me. I also talked to both Florin and Edin and only one of them was contacted by Google.”ということなので，やはり別のまだ解決されていない問題があるのかもしれない．