グーグル、Gmail経由のハッキング被害増加を警告──自分のアカウントを回復する方法
Forbes JAPAN
https://news.yahoo.co.jp/articles/74afa7033fcf367c03511ebb10c6a8a9eefd040eグーグルは、同社のユーザーを狙った攻撃が大量に増加していることを認めた。特に、メールを介して届けられるパスワード窃取型の脅威は昨年84%増加し、この憂慮すべき傾向は「2025年に入ってさらに激化している」とグーグルは述べる。情報窃取型(インフォスティーラー)マルウェアの危険性を示す報告は枚挙にいとまがないが、ここではアカウントが乗っ取られた場合の復旧方法に関するグーグルの助言を紹介する。
■助けて――グーグルアカウントがハッキングされた
グーグルの公式サポートフォーラムやRedditの関連掲示板を覗くと、ハッキングされたアカウントへのアクセス回復を求める投稿が絶えず寄せられていることに気づくだろう。
たとえば、あるユーザーは「ハッカーにアカウントの電話番号と復旧用メールを変更され、ログインしようとするとパスワードが変更されたと表示される」と訴える。別のユーザーは「不審な活動の通知を受け取ったが、確認した時にはすでに遅く、連絡先と復旧情報も変更されていた」と報告する。さらに別のユーザーは「ハッカーがアカウントにパスキーを追加し、ログインのたびにQRコードの読み取りや、持っていないデバイスでの認証を求められる」と嘆く。
米国時間7月29日、グーグルのプロダクトマネジメント担当シニアディレクターであるアンディ・ウェンは、この問題の深刻さを改めて明らかにした。ウェンによれば、攻撃者はフィッシングと認証情報窃取の手法を強化しており、これらが成功した侵入の37%を占めるという。また、アカウント侵害においてクッキーや認証トークンの窃取が「指数関数的に増加している」ことも指摘された。
筆者はForbes.comの様々な記事で、これらの攻撃を緩和するための手順について解説してきたので、そちらも確認してほしい。しかし、最悪の事態が発生し、グーグルアカウント乗っ取りの被害に遭い、あなたの大切なアカウントから締め出されてしまった場合はどうすればよいだろうか。そのアカウントは、とりわけ、あなたのGmail受信箱という機密データの保管庫を開く鍵でもある。パニックになる必要はない。グーグルが対応策を用意している。
■グーグルアカウント復元のガイド
Googleアカウントが乗っ取られたり、何らかの理由で締め出されたりした場合に、いくつかの簡単なステップでアクセスを回復できる役立つ公式オンラインガイドがある。
(1)ブラウザーで「アカウント復元ページ」にアクセスし、自分のGmailアドレスを入力する。過去にそのアカウントでサインインしたことのあるパソコンやスマートフォンを使い、いつも使用しているブラウザーで、普段ログインしている場所からアクセスするのが望ましい
(2)グーグルが提示する質問には可能な限り正確に答える。パスワードを思い出せない場合は以前使っていたものを入力するか、思い当たる候補を入力する
(3)復旧用メールアドレスや電話番号、認証アプリ、またはデバイスへの通知にセキュリティコードが送られることがある。ただし「グーグルがメール・電話・メッセージでパスワードや認証コードを求めることはない」ため、そうした要求はハッカーからのものと判断すべきだ
(4)指示に従い、パスワードをリセットする
■予防は治療に勝る
とはいえ、やはり予防は治療に勝る。ハッカーによるアカウント乗っ取りを防ぐ最も効果的な単一の方法は、たとえ二要素認証と組み合わせたとしても、ユーザー名とパスワードの組み合わせより安全な形態のユーザー認証情報を使用することである。そう、繰り返し強調するが、パスキーのことだ。
パスキーは、サーバー側で保存される固有の公開鍵と、ユーザーのデバイスにのみ保存される秘密鍵という2つの鍵で構成されている。公開鍵は秘密鍵でしか正しく応答できないチャレンジを作り出し、鍵はランダムに生成され、サインイン時に共有されることはない。完璧なセキュリティは存在しないものの、パスキーは推測や盗聴がほぼ不可能な仕組みであり、認証情報の安全性を大きく高める技術だと評価されている。
グーグルは、パスキーの主な利点を次の3点にまとめている。
・フィッシング耐性:ユーザーが騙されてパスキーを攻撃者に渡すことができないため、パスキーは本質的にフィッシング攻撃に強い
・簡便性:パスキーによるサインインは、PINコードや指紋・顔認証でデバイスのロックを解除するのと同じくらい簡単に行える
・一意性:パスワードのように使い回されることはなく、各サービスやウェブサイトごとに固有のパスキーが生成される
さらに、従来のパスワードと二要素認証からパスキーへの切り替えは、こちらから短時間で完了し、ユーザー側の負担も少ない。導入しない理由は見当たらない。
■新しいシスコ Talosレポートがグーグルの警告に重みを与える
シスコでTalosインテリジェンスグループの情報セキュリティアナリストを務めるレクシー・ディスコラは、最新のインシデント対応報告の概要で「フィッシングは依然としてハッカーによる初期侵入の主要手段です」と警告した。報告では、観測されたフィッシング攻撃の大半が認証情報の収集を目的としており、サイバー犯罪者は金融詐取や機密データ窃取といった侵害後に行う活動よりも、侵害した資格情報を転売する方が簡単で確実に利益を得られると考えていることが示唆されている。
また、攻撃者は正規で信頼されているメールアカウントを乗っ取り、それを利用して組織のセキュリティ制御を回避し、受信者に信頼感を与えている点も強調された。報告書で引用された一例では、被害者が偽のMicrosoft 365ログインページに誘導され、そこで偽の二要素認証コードの入力を求められていた。これは攻撃者がユーザーの認証情報やセッショントークンを盗むための手口とみられている。こうしたリスクはグーグルのプラットフォーム利用者に限らず、すべてのユーザーが十分に警戒する必要がある。
マジで
一度詰みかけた
さすがにそろそろパスキーとかいうのをやってみるか〜と思ったが
調べるとお爺ちゃんの脳ではもう理解できないもので諦めたわ
そうなったらブラウザーのパスワードマネージャーに保存しているパスワードは全部漏れる
ブラウザーのパスワードマネージャーじゃなくて有料のを使った方がいい
あー
偽のμblock originとか出てるっぽいな
クレカのSMS2重認証突破されてクレカ補償もない被害者がいたぞ
パスキーにしたほうがいいんか?ほんとか?
ログインしたかったらスマホ紐付けて顔認証か指紋認証かPIN入力しなさいってやつね
スマホと運命共同体だからなくしたら大変やね
>顔認証か指紋認証
壊れたらアウトだから
特に壊れやすい指紋認証はやめとけとケンモメンが言ってた
公開鍵と秘密鍵のセットが必要なだけなのに
なんで顔認証やら指紋認証を求められるのか
くじ引きでランダムなのを作ってる
覚えてへんから出先でログインできひん
そっちのブラウザにはプラグインやら拡張機能は絶対入れない
あとパスワードは使い回さない
SMSじゃいかんのか
フィッシングサイトで被害者が入力したという場合、
リアルタイムでハッカーが代行して本物のサイトに入力してて
それに気付かない被害者はフィッシングサイトの方にSMSのキーを入力するから
相手に渡ってそのまま盗られる
よく考えてるなぁ
それとサイト名を組み合わせることにより、かなり長めのパスワードが生成される
だからパスワード100種類だろうが一切メモ無しで入力可能
俺も同じかわからんがそれに近いことやってたけど
昨今はサイトによって数字と英字と記号を組み合わせろ、記号は使うな、この特定の記号から一つ使え、大文字と小文字を使え、大文字は使うな、8文字以下にしろ、12文字以上にしろ、
とサイトによってパスワードルール違いすぎてだんだん通用しない特例が増えてきて結局パスワードソフト使うようにしたわ
一つのアルゴリズムで100は無理じゃね
もう常に疑ってかかった方がいいか
そもそもgmail以外にしてくれってお願いしたいんだけどな
コメント