Proton MailやOutlookなど多くのメールプロバイダーは、ユーザーがアドレスのエイリアス(別名)を切り替えられるようにしているが、グーグルはこれまで、Gmailユーザーにこの機能を提供してこなかった。だが、どうやらこれは変わろうとしている。ただし、できるだけ早く変更したい利用者につけ込もうとする脅威アクター(攻撃者)に警戒するよう、ユーザーには注意が促されている。
グーグルのサポート文書で明らかになったGmailアドレス変更
Google Pixel HubのTelegramグループで最初に報告されたとおり、グーグルのサポート文書によって、この変更が「すべてのユーザーに段階的に展開されている」ことが明らかになった。
このサポート文書は、執筆時点ではヒンディー語版のみが公開されていた(現在は日本語版もある)。グーグルのビルトイン翻訳機能で翻訳すると、タイトルは「Googleアカウントのメールアドレスを変更する」となる。同文書は「希望する場合」としたうえで、「Googleアカウントのメールアドレスの末尾がgmail.comの場合は、末尾が@gmail.comの別のメールアドレスに変更できることがあります」としている。
また、同文書は、新しいGmailアドレスへの変更は12カ月に1回しかできないことも明記している。変更は、1アカウントにつき合計3回が上限となる。グーグルは、古いGmailアドレスは保持され、古いアドレスと新しいアドレスの双方に届いたメールを受信できるとしている。
Gmailアドレス変更をめぐる不確実性を悪用するハッカーに注意
変更できることは朗報に見えるかもしれないが、大きな悪材料にもなり得る。脅威アクターは、恐怖、不確実性、疑念を悪用することを好むが、ヒンディー語のサポート文書という形での今回の奇妙な発覚は、とりわけ不確実性を大量に生み出している。ソーシャルエンジニアリングの手口を用いてログイン認証情報を奪い、アカウント乗っ取りを狙う攻撃者は、これを自分たちに有利に使おうとする可能性が高い。
なぜか。Gmailアドレスは、Googleアカウントおよび各種Googleサービスにサインインするためのアドレスでもあるからだ。このためGmailユーザーは、「リンクをクリックしてアカウントにログインすればGmailアドレスを変更できる」と知らせてくる連絡には強い疑いを持つよう警告されている。これはほぼ確実に、認証情報をだまし取ってアカウントの支配権を奪うことを狙うフィッシング攻撃である。グーグルは、いつもどおり、こうした変更は公式チャネルを通じてのみ告知する。
筆者はGmailアドレス変更に関する声明を求めてグーグルに問い合わせている。
