Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Googleアカウントの「乗っ取り」が多発 - 「2段階認証」による自衛を

12月後半に入り、Google利用者のアカウントが何者かに乗っ取られ、悪用される被害が目立っている。

SNS上で被害の報告が相次いでいるほか、実際に筆者の知人など周辺でも被害が発生している。具体的な被害としては、パスワードが奪われ、不正サイトへ誘導するスパムが、Gmail経由で友人に送信されたといったケースが多いようだ。

Googleでは、共通のアカウントでSNS、決済サービス、ストレージなど、さまざまなサービスへアクセスが可能だ。「情報漏洩」や「改ざん」「なりすまし」による被害の発生も懸念される。

現時点で、アカウントの乗っ取りが多発した具体的な原因は不明だ。Google経由の流出を疑う声もあるようだが、同社から特にアナウンスなどは行われていない。複数のパスワードを試行し、侵入する「ブルートフォース攻撃」ではないか、との憶測も出ている。

利用者側から漏洩した可能性もある。フィッシングやDNSポイズニングにより、偽サイトで情報を騙し取られた場合や、PCに感染したウイルスによって、盗み出されたおそれもある。他社のサービスと共通のパスワードを利用している場合、他サービスからアカウント情報が流出し、悪用された可能性もあるだろう。

このごろはスマートフォンやブラウザのアドオンなど、Googleの機能へアクセスするサードパーティのアプリも少なくない。悪意あるアプリで情報を取得していたり、不正目的ではなくても、管理者の過失により漏洩するリスクも存在している。

同一攻撃元の大規模な攻撃であれば、今後原因についても明らかになっていく可能性もあるが、まずは利用者において、パスワードを不正取得された場合も被害が発生しないよう、セキュリティ対策を実施し、自衛することが喫緊の課題といえよう。

「2段階認証」でリスクを低減する

パスワード漏洩の対抗策として、Googleでは「2段階認証」を用意している。これは、通常求められるユーザー名とパスワードによる認証にくわえ、さらにもう1段階、別の認証を求めることで、パスワード漏洩時における不正ログインを水際で阻止するものだ。

2段階目の認証コードは、一定時間ごとに変化するワンタイムパスワードとなっており、あらかじめユーザーが指定した電話番号に対する音声通話や、携帯電話に送信するSMS、あるいはスマートフォン用アプリで確認する。電話やスマートフォンが手元になければ、認証できない。

以前は、日本国内の電話番号を登録できなかったり、SMSが送信できないなど国内では制限があったが、現在はいずれも対応している。Googleの「2段階認証プロセス」に関する説明をよく読んだ上で、アカウントページへ行き、セキュリティの項目から設定すれば利用できる。

「2段階認証」利用時に忘れてはならない注意

「2段階認証」を利用する際に注意すべき点がある。

セキュリティの強化にともない、正当な利用者本人であっても、設定後に「2段階認証」のコードを受け取る手段を失えば、アカウントへアクセスができなくなる。

たとえば、コードを受け取る手段として音声通話を選択していれば、電話番号を変更したり、使用を中止すれば、当然ながら受け取ることができなくなり、利用に支障をきたす。

SMSについてもアドレスの変更や迷惑メール設定に注意する必要があるだろう。スマートフォンアプリについても、削除したり、スマートフォン端末の故障や紛失によりコードを確認できなくなる可能性がある。

もちろん、事前に受け取り先は変更が可能だ。Googleでは、利用者本人がコードを入手できなくなる事態を想定し、バックアップ用の電話番号を設定したり、バックアップ用コードを印字できるようになっている。

またメーラーをはじめ、「2段階認証」を利用できないアプリもあるので注意だ。こうしたアプリを問題なく利用できるよう「アプリケーション固有のパスワード」を発行することで対応が可能となっている。

最後に「2段階認証」は、万能ではないことも覚えておきたい。

あたりまえといえばあたりまえだが、パスワードとともに、2段階認証のコードを同時に取得されれば、アカウントを乗っ取られてしまう。

たとえば、簡単に閲覧できる電話のメモアプリにパスワードを保存しており、さらに「2段階認証」を受け取る音声通話先が同じ端末に設定されていれば、対策として意味がないことは誰でも容易に想像つくだろう。

無論、パスワードを端末上で閲覧できなくとも、安易なパスワードであればやはり危険だ。離席時にスマートフォンを覗かれ、「2段階認証」のコードを取得される可能性がある。

「2段階認証」を利用しても油断せずに、十分な強度を持ったパスワードを設定し、安全に保管すること。そして「2段階認証プロセス」のコードを第三者から閲覧できないよう設定するなど、基本的な対策を講じておく必要がある。

またPCに潜むウイルスによって、キー入力の情報が取得されていれば、いくら対策を実施しても元の木阿弥だ。脆弱性の修正や最新セキュリティ対策ソフトを利用し、ウイルスに感染しない環境を保つことも重要な対策のひとつといえよう。

(Security NEXT - 2012/12/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず
10月以降、「DreamBot」の感染被害が拡大 - リンク付きメールに注意
「ディノスオンラインショップ」に不正ログイン - 情報改ざんや不正注文が発生
メールサーバに不正アクセス、迷惑メールの踏み台に - 放送大
システム管理者アカウントが奪われ、個人情報約7万件が流出 - 阪大
消費者の7割「情報漏洩が発生した企業との取引をやめる」 - 9割超が法的措置検討
445番ポートへのパケットを継続して観測、「WannaCrypt」の影響収束せず
NEC、「Box連携ソリューション」5種を開発 - SSOや個人情報検索など
「Ursnif」の感染活動で複数のサンドボックス回避技術を利用
「Bad Rabbit」の踏み台被害、対応に1カ月弱 - アイカ工業がサイト再開