Gmail製品担当バイスプレジデントのブレイク・バーンズ自身によれば、「30億人のユーザーが、つながりを持ち、物事を進めるためにGmailを利用している」という。一方、「Google ドライブ」のアクティブユーザーは推定10億人にのぼる。
筆者の独自取材により、両サービスの連携部分にある設計上の欠陥が「Gmailアカウントを持つほぼすべての個人」に重大なセキュリティ上の脅威をもたらしていることが明らかになった。新たな報告書は、GmailとGoogle ドライブという信頼性の高いインフラに関して、攻撃者がマルウェア(悪意あるソフトウェア)配信基盤として悪用しうることを概念実証(PoC:脆弱性が実在することを示す実証コード)によって確認した。
つまり攻撃者は、誤解を招く危険な「Gmailによりスキャン済み」のお墨付きを伴った悪意ある添付ファイルを送り込めるのである。グーグル自身の回答も含め、知っておくべきことを以下にまとめる。
「Gmailによりスキャン済み」は、思っているほど添付ファイルの安全を保証していない
世界で最も利用されている無料ウェブサービスであるGmailには、セキュリティ面で多くの長所がある。ハッカーや詐欺師から絶え間なく攻撃を受けている同サービスにとって、それは絶対に必要なものだ。幸い、GmailとGoogle ドライブの双方には、こうした攻撃でよく使われる種類の悪意あるファイルの配布手段として悪用されることを防ぐ仕組みが備わっている。
しかし、Pentera Labs(ペンテラ・ラボ)のセキュリティ研究者ベン・イルカシが筆者だけに明かしたところによれば、攻撃者はこれらの仕組みを逆手に取り、壊滅的な効果をもたらすことが可能だという。「悪意ある添付ファイルを完全に安全なものとして機械に表示させることができると言ったら、どう思いますか」とイルカシは語る。「グーグル自身にあなたのフィッシング用ペイロード(攻撃用データ)を承認させ、フィッシング攻撃における究極の目標を事実上達成できると言ったら、どうでしょう」。もちろんその究極の目標とは、(メール受信者から得られる)絶対的かつ疑いの余地のない信頼性のことだ。いわば、不自然といえるほど信頼性を極限まで高めた状態である。
イルカシの研究は、90日間の「責任ある開示期間」(脆弱性の修正猶予期間)を経てPentera Labsから公表されたもので、グーグルの統合セキュリティ基盤の内部に設計上の不整合があることを浮き彫りにした。この不整合により、本来であれば「Gmailの添付ファイル・スキャナーによって明示的にブロックされる」はずのマルウェアがGoogle ドライブ上に置かれ、「Gmailによりスキャン済み」という信頼を示すラベルとともに受信者へ届けられてしまう。
この問題は、米国時間2025年12月14日にGoogle Bug Huntersプログラムを通じて最初に報告され、グーグルは「社内で追跡中の問題」と重なるものであると認めた。イルカシによれば、米国時間2026年1月22日にはグーグルのTrust and Safety部門が「修正の時期は未定」であると回答した。開示時期の判断はPentera Labsに委ねられたという。
