Gmailユーザーに対する攻撃がBleepingComputerやCitizen Labによって報じられた。グーグルのセキュリティ研究チーム(GTIG。Google Threat Intelligence Group)が報告した多要素認証(MFA)を回避する標的型攻撃のことだ。
このGmailに対する攻撃は、グーグルの正当なインフラを悪用して、パスワードや二要素認証(2FA)のセキュリティを回避するというもので、この4月にも正当なインフラを悪用する手法でグーグルの従業員を装ってユーザーを騙し、ユーザーのアカウントを攻撃者にアクセスさせてしまうというDKIMリプレイ攻撃があった(グーグルに報告され、対応が進められている)。
グーグルは、すべてのユーザーにアカウントをアップグレードしてパスキーを追加し、これをパスワードや2要素認証(2FA)の代わりに使用することを推奨している。
GeminiとGmailの統合によるプライバシー上の懸念
だが話はここで終わらず、また別に深刻な問題が存在する。Gmailユーザーには他にもアップグレードがあり、これらはそれほど簡単ではなく、選択を誤ると重大な影響がある。
ここから話題にしているのはAIだ。Incogniは米国時間7月1日、ある警告を出した。そこでは、「大手テクノロジー企業が開発したプラットフォームが最もプライバシーを侵害していることが分かっています。Meta AI(メタ)が最悪、次いでGemini(グーグル)、Copilot(マイクロソフト)です」と述べられている。これは、データがクラウド上など他の場所で処理されるオフデバイスAI(デバイス外AI)のことを含んでいる。
これは、加速するGeminiとGmailの統合に大きな関わりを持っている。AIによる関連性検索やAIによるスマート返信など、注意すべき点は同じだ。このAIデータ処理は、あなたのデバイスではなくグーグルのサーバーで行われる。
