世界を動かす技術を、日本語で。

偽のGoogle電話、偽装されたGoogleメール、認証同期を通じて13万ドルを詐欺に遭う

概要

  • 2025年6月19日、Googleアカウントを標的とした 巧妙なフィッシング詐欺被害 の体験談
  • Google Authenticatorのクラウド同期 が被害拡大の要因
  • 13万ドル相当の暗号資産 が盗難される結果に
  • 技術者であっても 緊急性や恐怖感により判断を誤る リスク
  • セキュリティ対策の見直しと注意喚起 の重要性を強調

フィッシング詐欺被害の経緯

  • 2025年6月19日、 Pacifica, CA からの着信を受信
  • 相手は Google Support を名乗り、「あなたは2024年10月に死亡した」という 死亡証明書と写真付きID が提出されたと説明
  • 不審に思いつつも、 legal@google.com から届いた公式風メール(署名:Norman Zhu)に信じ込む
  • Gmailアプリ(iOS)上でメールが完全に正規のものに見えた ため、疑いが薄れる
  • 電話相手から「生存確認のため」として 認証コードの読み上げ を要求され、パニック状態で応じてしまう
  • 通話終了後、 Google Advanced Security登録 を勧めるメールも受信

攻撃者による被害内容

  • 攻撃者は既に Gmail、Google Drive、Google Photos、Google Authenticatorコード にアクセス済み
  • Authenticatorのクラウド同期 により2段階認証コードも漏洩
  • 直後に Coinbaseアカウントへ侵入 され、ETH等の暗号資産を複数回の取引で全て奪取
  • 被害額は約8万ドル(当時)、現在価値で約13万ドル
  • 数時間後、Coinbase残高がほぼゼロに
  • Googleアカウントに見知らぬ端末や電話番号 が追加されていることを確認

フィッシングの手口とGoogleの問題点

  • @google.com からのフィッシングメールが Gmailのフィルタをすり抜けて受信箱に届いた
  • 攻撃者は Fromフィールドを偽装 し、正規メールと見分けがつかない状態
  • iOS版Gmailアプリではメールヘッダーの詳細確認が不可 で、即座の検証が困難
  • Authenticatorクラウド同期 がデフォルト有効で、1度の侵害で全ての2FA情報が流出
  • 攻撃者は 16億件の漏洩パスワード からパスワードを入手した可能性
    • パスワードは使い回しておらず、長期間変更していなかった
    • マルウェアによるキーロガー感染の疑いも

セキュリティ対策と教訓

  • 認証コードは絶対に他人に教えないこと
  • 緊急性や恐怖感を煽る手口 に注意
  • Google Authenticatorのクラウド同期 は利便性とリスクを天秤にかけて慎重に判断
  • 不審な着信は一度切り、公式窓口に自分から連絡し直す ことを徹底
  • パスワードは定期的に変更し、漏洩有無を確認 する習慣
  • Gmail利用者に対し、Authenticatorコードは2段階認証として十分でない ことを開発者にも注意喚起

事件後の対応と残された課題

  • 攻撃者によって 証拠となるメールが削除・ゴミ箱も空にされた
  • Googleのメッセージ復元ツールでも回復不可
  • 唯一残ったのは phishing@google.com 宛に転送したメールのバウンスバック通知
  • Google公式のフィッシング通報アドレスが機能していなかった ことも発覚

今後の注意点と読者へのメッセージ

  • 1人でも被害を防げれば、この体験談を共有する価値がある
  • パスワードと2段階認証の管理徹底クラウド同期のリスク認識 を再確認
  • 不審な連絡・メールには最大限の警戒心 を持つこと
  • 同様の被害経験がある場合はDMで情報共有を 呼びかけ

Hackerたちの意見

負荷に関する疑問は、攻撃者がどうしてOPの銀行口座や退職金、クレジットカードを使い切らなかったのかってことだよね。残念ながら、銀行は顧客の口座が空になることに全く関心がないからね。

銀行は全然気にしてないよね :)

銀行や証券口座からお金を移すのには時間がかかるんだよね。その間に気づいた人は、移動を不正だと報告して口座を凍結できるはずだよ。

「本当に気にかける」というのは、銀行が合理的な対策をとっても口座が空にされてしまった人に対して返金するポリシーを持っているってこと。これによって、銀行は10万ドルの詐欺を100ドルの詐欺より1000倍気にするようになる。100人に影響を与える詐欺を1人に影響を与える詐欺よりも1000倍気にするってわけ。関係ないけど、スパイスを加えるために、10ヶ月前のスレッドを紹介するね。みんなが「Google AuthenticatorでCoinbaseアカウントを守らないとバカだ」って同意してるよ。

もちろん、その裏側には、同じ理由でロックされたスマホで銀行取引を強いられるってことがあるよね。自分のミスに責任を持つことと、自分で決められないように扱われることの間には、あんまり中間がない気がする。

不明な電話には疑いを持って。何かおかしいと感じたら、電話を切って直接会社に連絡して確認しよう。自分が電話に出ないことでどれだけ詐欺を避けてきたか、時々考えるよ。期待している電話か知っている人からの電話以外は、ほとんど出ないからね。 > 攻撃者はすでに私のGmail、Drive、Photos、そしてGoogle Authenticatorのコードにアクセスしてた。Googleが私のコードをクラウドで同期させてたから。うーん、Googleには困ったもんだ。

普段は知らない番号からの電話には出ないんだけど、数日前にAmazonを名乗る詐欺師から電話がかかってきたんだ。600ポンドのiPhoneを注文したって言われて、本当に注文したのかって。かなり疑わしかったけど、Amazonの本物の人間だと証明させるために、最後に本当に注文したものを言わせようとしたんだ。結局20分くらい電話を続けて、最終的には向こうが私に罵声を浴びせてきた。その間、同じ部屋で他の人にも同じセリフを言ってるのが聞こえてきた。なんでそんなに長く電話を続けたのか全くわからない…。

最近、私には一つのルールがある。予期しない知らない番号はボイスメールに行かせるんだ。メッセージには「メッセージと番号を残してください。重要なことなら折り返します。」って言ってる。出るのは、配達の電話とか医者からの電話を期待している時だけで、その場合は配達のことか医者のことしか聞かないからね。これでフィルタリングできるといいな。

私には1-2秒のルールがある。電話に出て「もしもし」と言って、1-2秒以内に返事がなかったら切るんだ。詐欺師は電話のキューから働いているから、電話が詐欺師に繋がるまで少し時間がかかる。最初はスクリプトを読む必要があるから、遅れが出るんだよね。詐欺師もおそらく英語が母国語じゃないし、退屈してるだろうから、名前を読んで言う準備をするのに時間がかかる。普通の会話にはないメンタルスタートアップ時間があるんだ。もし誰かが電話をかけてきて「もしもし」にすぐに反応できないなら、それは詐欺師だよ。

この部分がよくわからなかった。攻撃者がGoogleアカウントにアクセスできるのは、Googleが私のコードをクラウドで同期してたからなの?それってどういう意味?

これらの話の中で一番の赤信号は、カスタマーサポートから連絡が来ることだね。緊急時に連絡が取れないのに、助けようとしてるように見えるのが怖い。

知らない番号からの電話には出ないように設定してるし(アドレス帳にない番号)、親にも同じことをして、メールで受け取ったことを信じないようにできるだけ指示してる。でも、それでも母は年に1回か2回は本物だと思ってパニックになって詐欺メールについて連絡してくるんだよね。

Hacker Newsで議論の続きを見る