Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Googleアカウントの「乗っ取り」が多発 - 「2段階認証」による自衛を

12月後半に入り、Google利用者のアカウントが何者かに乗っ取られ、悪用される被害が目立っている。

SNS上で被害の報告が相次いでいるほか、実際に筆者の知人など周辺でも被害が発生している。具体的な被害としては、パスワードが奪われ、不正サイトへ誘導するスパムが、Gmail経由で友人に送信されたといったケースが多いようだ。

Googleでは、共通のアカウントでSNS、決済サービス、ストレージなど、さまざまなサービスへアクセスが可能だ。「情報漏洩」や「改ざん」「なりすまし」による被害の発生も懸念される。

現時点で、アカウントの乗っ取りが多発した具体的な原因は不明だ。Google経由の流出を疑う声もあるようだが、同社から特にアナウンスなどは行われていない。複数のパスワードを試行し、侵入する「ブルートフォース攻撃」ではないか、との憶測も出ている。

利用者側から漏洩した可能性もある。フィッシングやDNSポイズニングにより、偽サイトで情報を騙し取られた場合や、PCに感染したウイルスによって、盗み出されたおそれもある。他社のサービスと共通のパスワードを利用している場合、他サービスからアカウント情報が流出し、悪用された可能性もあるだろう。

このごろはスマートフォンやブラウザのアドオンなど、Googleの機能へアクセスするサードパーティのアプリも少なくない。悪意あるアプリで情報を取得していたり、不正目的ではなくても、管理者の過失により漏洩するリスクも存在している。

同一攻撃元の大規模な攻撃であれば、今後原因についても明らかになっていく可能性もあるが、まずは利用者において、パスワードを不正取得された場合も被害が発生しないよう、セキュリティ対策を実施し、自衛することが喫緊の課題といえよう。

「2段階認証」でリスクを低減する

パスワード漏洩の対抗策として、Googleでは「2段階認証」を用意している。これは、通常求められるユーザー名とパスワードによる認証にくわえ、さらにもう1段階、別の認証を求めることで、パスワード漏洩時における不正ログインを水際で阻止するものだ。

2段階目の認証コードは、一定時間ごとに変化するワンタイムパスワードとなっており、あらかじめユーザーが指定した電話番号に対する音声通話や、携帯電話に送信するSMS、あるいはスマートフォン用アプリで確認する。電話やスマートフォンが手元になければ、認証できない。

以前は、日本国内の電話番号を登録できなかったり、SMSが送信できないなど国内では制限があったが、現在はいずれも対応している。Googleの「2段階認証プロセス」に関する説明をよく読んだ上で、アカウントページへ行き、セキュリティの項目から設定すれば利用できる。

「2段階認証」利用時に忘れてはならない注意

「2段階認証」を利用する際に注意すべき点がある。

セキュリティの強化にともない、正当な利用者本人であっても、設定後に「2段階認証」のコードを受け取る手段を失えば、アカウントへアクセスができなくなる。

たとえば、コードを受け取る手段として音声通話を選択していれば、電話番号を変更したり、使用を中止すれば、当然ながら受け取ることができなくなり、利用に支障をきたす。

SMSについてもアドレスの変更や迷惑メール設定に注意する必要があるだろう。スマートフォンアプリについても、削除したり、スマートフォン端末の故障や紛失によりコードを確認できなくなる可能性がある。

もちろん、事前に受け取り先は変更が可能だ。Googleでは、利用者本人がコードを入手できなくなる事態を想定し、バックアップ用の電話番号を設定したり、バックアップ用コードを印字できるようになっている。

またメーラーをはじめ、「2段階認証」を利用できないアプリもあるので注意だ。こうしたアプリを問題なく利用できるよう「アプリケーション固有のパスワード」を発行することで対応が可能となっている。

最後に「2段階認証」は、万能ではないことも覚えておきたい。

あたりまえといえばあたりまえだが、パスワードとともに、2段階認証のコードを同時に取得されれば、アカウントを乗っ取られてしまう。

たとえば、簡単に閲覧できる電話のメモアプリにパスワードを保存しており、さらに「2段階認証」を受け取る音声通話先が同じ端末に設定されていれば、対策として意味がないことは誰でも容易に想像つくだろう。

無論、パスワードを端末上で閲覧できなくとも、安易なパスワードであればやはり危険だ。離席時にスマートフォンを覗かれ、「2段階認証」のコードを取得される可能性がある。

「2段階認証」を利用しても油断せずに、十分な強度を持ったパスワードを設定し、安全に保管すること。そして「2段階認証プロセス」のコードを第三者から閲覧できないよう設定するなど、基本的な対策を講じておく必要がある。

またPCに潜むウイルスによって、キー入力の情報が取得されていれば、いくら対策を実施しても元の木阿弥だ。脆弱性の修正や最新セキュリティ対策ソフトを利用し、ウイルスに感染しない環境を保つことも重要な対策のひとつといえよう。

(Security NEXT - 2012/12/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

子会社従業員が有効期限間近のデジタルギフトを不正入手 - デジタルプラス
サイバー攻撃で狙われ、悪用される「正規アカウント」
eモータースポーツ公式アカウントの乗っ取りで個人情報流出の可能性
置き忘れてPC紛失、在宅勤務時のデータ残存か - 国立国語研究所
J-CSIP、2023年4Qは脅威情報15件を共有 - 巧妙なフィッシングの報告も
「日経SDGsフェス公式」のXアカウントが乗っ取り被害
eモータースポーツ大会の複数SNS公式アカウントが乗っ取り被害
Ivanti製品の侵害、以前のツールでは検証回避のおそれ
クラウド利用増加で標的型攻撃が進化 - 「初期アクセス」獲得阻止が重要に
JR西日本の会員サービスを装うフィッシング攻撃に注意