⚠️ セキュリティ速報:2026年5月12日、Forbes誌がGmailに関わる重大な脆弱性を報告。Google は問題を認識しているが、修正時期は未定。全ての Gmail 利用者に影響。
世界で30億人が利用するメールサービス Gmail に、重大なセキュリティ上の欠陥が発見された。セキュリティ研究者が実証した攻撃手法は、Google 自身のウイルス検知をすり抜け、悪意あるファイルを「Gmail スキャン済み」という"お墨付き"とともにユーザーへ届けることを可能にする。Google は問題を認識しているにもかかわらず、修正の見通しは立っていない。日本国内の Gmail ユーザーも当然ながら影響を受ける。
今回の脆弱性とは何か
セキュリティ企業 Pentera Labs の研究者 Ben Ilkashi 氏が発見し、Forbes 誌の Davey Winder 記者が独占報道した。脆弱性の核心は、Gmail と Google Drive のセキュリティスキャン機能が連携していないという設計上の欠陥にある。
Google 自身の Gmail 担当副社長 Blake Barnes 氏は「30億人が Gmail を利用している」と述べており、その全ユーザーが潜在的なリスクにさらされる。Ilkashi 氏は「Gmail アカウントを持つほぼすべての個人に対して重大な脅威をもたらす」と警告している。
🔍 脆弱性の概要
| 発見者 | Ben Ilkashi(Pentera Labs セキュリティ研究者) |
| 報告日 | 2025年12月14日(Google Bug Hunters プログラムへ) |
| Google の対応 | 修正時期「未定」と回答(2026年1月22日時点) |
| 影響範囲 | Gmail 利用者 約30億人(全世界) |
| 公開日 | 2026年4月(90日間の責任ある開示期間終了後) |
攻撃の仕組みを詳しく解説
この脆弱性を理解するには、Gmail と Google Drive がそれぞれ独立したウイルス検知を持ちながら、互いの結果を共有していないという事実を把握する必要がある。
攻撃の流れ(ステップ解説)
Gmail がウイルスを検知・ブロック
攻撃者が悪意あるSVGファイル(マルウェア)をGmailに直接添付しようとすると、「ウイルスを検出しました」と表示され送信がブロックされる。ここまでは正常に機能している。
同じファイルを Google Drive にアップロード
Gmail でウイルス判定されたまったく同一のファイルを Google Drive に直接アップロードすると、Drive はそのファイルを危険と判定しない。スキャン基準に食い違いがある。
Drive の共有リンクを Gmail メールで送信
アップロードしたマルウェアの Google Drive 共有リンクを含むメールを作成して送信する。Gmail はリンク先のファイルを再スキャンせず、「Gmail によってスキャン済み」というラベルとともにメールを配信してしまう。
受信者がマルウェアをダウンロード・実行
受信者は「Google のお墨付き」を信じてファイルをダウンロード。今回の実証実験ではランサムウェアが使用された。
Ilkashi 氏のコメント(原文より):「マシンに悪意あるファイルを完全に安全だと表示させることができると言ったら? Google 自体にフィッシング攻撃のペイロードを承認させ、フィッシング攻撃の"聖杯"とも言える絶対的な信頼性を得られると言ったら?」— これが今回の攻撃の本質だ。
問題の根本は、Gmail が Google Drive から来るファイルに暗黙の信頼を与えていることにある。同じ Google のエコシステム内だから「事前に検証済みのはず」という設計上の前提が、このギャップを生んでいる。
もうひとつの問題:警告が出ない欠陥
Ilkashi 氏はさらに別の問題も発見した。今度は Gmail でウイルスとは判定されなかった(「安全上の理由で送信できません」と表示された)悪意あるファイルを使ったケースだ。
Google は通常このような場合、Google Drive 経由での共有を案内する。Drive 側では「このファイルはスキャン不可」といった危険性を知らせる確認画面を表示することでユーザーを守る仕組みになっている。しかし今回の調査で、その確認画面も表示されないケースが確認された。
⚠️ この問題で何が起きるか
Gmail の画面上で Drive リンクからファイルを開く際、本来なら表示されるはずの危険性の警告が一切出ないことが確認された。ユーザーは何の注意書きも見ないままファイルを取得できてしまう。Gmail が Drive のファイル処理上の不備をそのまま受け継ぐ形となり、十分に調べられていないファイルを警告なしに受け取れる状態が生まれている。
Google の公式見解
Forbes の取材に対し、Google の広報担当者は以下のように述べた。
「Google Workspace ユーザーの保護が最優先事項です。Gmail と Google Drive は、危険なプログラムファイルなどの悪意あるファイルの大多数を、受信トレイに届く前に自動的にブロックします。」
また Google は、ユーザーインターフェースをアップデートし、Google Drive のリンクでファイルが共有された際のセキュリティ確認表示を明確化するとしている。しかし Forbes 記事が指摘する通り、実際に動作確認された実証実験(ランサムウェアを使用)では今なお問題が再現可能であり、根本的な修正には至っていない。
Google の対応状況まとめ
| 対応済み | 未対応・課題あり |
| Drive 共有時のUIアップデート(進行中) | 根本的な修正は「未定」 |
| 疑わしいリンク検出時の赤色警告バナー表示 | 実証済みの攻撃手法が現在も有効 |
| セキュリティ研究コミュニティとの継続的な連携 | Gmail と Drive のスキャン連携は依然として未整合 |
日本のユーザーへの影響
結論から言えば、日本の Gmail ユーザーも全員が対象となる。この脆弱性は Gmail のアーキテクチャ上の問題であり、国・地域を問わず同一の Gmail インフラを利用している以上、日本ユーザーも同じリスクにさらされる。
日本では以下のような観点から特に注意が必要だ。
📧 Gmail の普及率
日本でも Gmail は個人・ビジネス双方で広く普及。Android スマートフォンとの標準連携により、特に若年層・ビジネスパーソンの利用率が高い。
🏢 ビジネス利用(Google Workspace)
Google Workspace を導入している日本企業も多い。ビジネスメールで Drive リンクの添付は日常的であり、攻撃が成功した場合の被害が大きい。
🎣 標的型攻撃との組み合わせ
今回の手法は、Google のお墨付きを騙った高信頼性フィッシングに悪用される。日本語に翻訳した偽メールと組み合わせることで非常に巧妙な攻撃が成立する。
📁 Google Drive の共有文化
日本のビジネスシーンでは Drive リンクでのファイル共有が一般化しており、ユーザーが Drive リンクを無条件に信頼する心理が攻撃者に利用される。
今すぐできる対策
Google による根本修正が行われるまでの間、以下の自衛策を実施することを強く推奨する。
✅ 対策1:「Gmail スキャン済み」を過信しない
メールに添付された Google Drive リンクやファイルに「Gmail によってスキャン済み」と表示されていても、それだけでは安全とは言えない。送信者が信頼できるか必ず確認すること。
✅ 対策2:見知らぬ送信者からの Drive リンクは開かない
心当たりのない送信者や、突然送られてくる Drive の共有リンクは、クリックしないのが最善。業務上必要な場合は、別の手段(電話等)で送信者本人に確認する。
✅ 対策3:ウイルス対策ソフトを最新状態に維持
今回の問題は Gmail 側のスキャン検知をすり抜けるものだが、お使いの端末(パソコン・スマートフォン)にウイルス対策ソフトを導入しておくことが最後の砦となる。定義ファイルを常に最新に保つこと。
✅ 対策4:2段階認証(2FA)を必ず有効化
万が一マルウェアに感染してもアカウント奪取を防ぐため、Google アカウントの2段階認証を有効化する。パスキーの設定も推奨。
✅ 対策5:Google セキュリティ チェックアップを実施
Google アカウントの「セキュリティ診断」機能を使い、不審なアクティビティや第三者アプリのアクセスがないかを定期確認する。アクセス先は myaccount.google.com/security から。
✅ 対策6:企業・組織での Gmail コンテンツポリシー設定
Pentera Labs が推奨する対策として、Google Workspace 管理者は Gmail のコンテンツコンプライアンスルールを設定し、外部アドレスからの Google Drive 共有リンクを含むメールに対して警告追加・隔離などの処置を施すことが有効。
まとめ
今回の問題を整理すると、Gmail と Google Drive が「別々にスキャンしているにもかかわらず互いの結果を信頼し合っている」という設計上のギャップが、フィッシング・マルウェア配布の新たな抜け穴になっている。Google はすでに問題を把握しながらも、修正時期を明示していない。
📌 この記事のポイント
- Gmail と Google Drive のスキャン機能にアーキテクチャ上のズレが存在
- 「Gmail スキャン済み」ラベルを悪用した高信頼性フィッシングが成立
- Google は問題を認知済みだが修正時期は未定
- 日本ユーザーを含む全世界 約30億人が対象
- 現時点ではユーザー側の自衛策が最も有効な防御手段
セキュリティ研究者 Ilkashi 氏が警告するように、この脆弱性は「理論上の話」ではなく、実際にランサムウェアを使って実証された再現可能な攻撃手法だ。Google による修正が完了するまでの間、Drive リンクへの過信を捨て、慎重な行動を心がけてほしい。
参考:Forbes(Davey Winder, 2026年5月11-12日)、Pentera Labs 研究レポート(Ben Ilkashi)、Google 公式コメント(Forbes 取材回答)
