Google Authenticatorの同期機能がフィッシング詐欺の被害を拡大したという話

2023年9月18日 20:59

ビジネスソフトウェア構築プラットフォームを提供する Retool がスピア型のフィッシング攻撃を受けたのだが、Google Authenticator によりその被害が大きくなったそうだ (Retool のブログ記事、 Ars Technica の記事、 Bleeping Computer の記事)。

複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていったものの、結局ワンタイムパスワード (OTP) を教えてしまったという。

OTP を入手したことで攻撃者は自分のデバイスを従業員の Okta アカウントに追加することが可能となり、Google アカウントにもアクセス可能となる。Google は Google Authenticator を複数デバイスで利用可能にする OTP 同期機能を 4 月に追加しており、普通にセットアップすると同期が有効になるよう誘導される。同期を有効にした状態で Google アカウントが侵害されれば、OTP コードもすべて侵害されることになる。

Retool ではさまざまな場面で OTP を使用しており、攻撃者は内部の管理システムにもアクセス可能になったという。これにより、27 の顧客アカウントも乗っ取りの被害にあったとのことだ。

すべて読む | ITセクション | Google | セキュリティ |

Pixel Watch、Googleには一切修理不可能

スラド

著者: headless

2023年9月18日 12:09

Pixel Watch のカバーガラスは割れやすく、Google に修理を断られたという不満の声が発売数か月後から出ているが、実際にGoogleでは修理できないようだ (The Verge の記事、 Android Police の記事、 Ars Technica の記事)。

読者が The Verge に提供した Google 公式サポートとのチャットログによると、Pixel Watch を修理可能な Google の修理・サービス拠点は存在しないのだという。これについて Google の広報担当者は The Verge に対し、現時点で Pixel Watch の修理オプションは一切ないこと、破損した場合は Pixel Watch のカスタマーサポートに連絡して交換が可能かどうかを確認すべきであること、を伝えたそうだ。ただし、Google 製品の限定保証では事故や外的要因による損傷が対象外となるため、Pixel Watch の画面割れは保証対象外になる可能性が高い。

iFixit は Google と提携して Pixel スマートフォンの修理ガイドや修理部品を提供しているが、Pixel Watch に関しては修理ガイドのみで部品は提供されていない。画面修理ガイドによると、Pixel Watch のカバーガラスのみを交換することはできず、ディスプレイアセンブリ―全体の交換が必要になるようだ。部品取り用に画面の無事な故障品を入手したというコメントもみられるが、数は多くなさそうだ。

Googleが 10 月に発売すると予想される Pixel Watch 2 もほぼ同様のデザインであり、画面の割れやすさは変わらないとみられる。ただし、地元カリフォルニア州では 100 ドル以上の製品に 7 年間の修理用部品提供を義務付ける「修理する権利」法案を可決しており、成立・施行されればこのままではいられなくなるだろう。