グーグルアカウント復元のガイド
Googleアカウントが乗っ取られたり、何らかの理由で締め出されたりした場合に、いくつかの簡単なステップでアクセスを回復できる役立つ公式オンラインガイドがある。
(1)ブラウザーで「アカウント復元ページ」にアクセスし、自分のGmailアドレスを入力する。過去にそのアカウントでサインインしたことのあるパソコンやスマートフォンを使い、いつも使用しているブラウザーで、普段ログインしている場所からアクセスするのが望ましい
(2)グーグルが提示する質問には可能な限り正確に答える。パスワードを思い出せない場合は以前使っていたものを入力するか、思い当たる候補を入力する
(3)復旧用メールアドレスや電話番号、認証アプリ、またはデバイスへの通知にセキュリティコードが送られることがある。ただし「グーグルがメール・電話・メッセージでパスワードや認証コードを求めることはない」ため、そうした要求はハッカーからのものと判断すべきだ
(4)指示に従い、パスワードをリセットする
予防は治療に勝る
とはいえ、やはり予防は治療に勝る。ハッカーによるアカウント乗っ取りを防ぐ最も効果的な単一の方法は、たとえ二要素認証と組み合わせたとしても、ユーザー名とパスワードの組み合わせより安全な形態のユーザー認証情報を使用することである。そう、繰り返し強調するが、パスキーのことだ。
パスキーは、サーバー側で保存される固有の公開鍵と、ユーザーのデバイスにのみ保存される秘密鍵という2つの鍵で構成されている。公開鍵は秘密鍵でしか正しく応答できないチャレンジを作り出し、鍵はランダムに生成され、サインイン時に共有されることはない。完璧なセキュリティは存在しないものの、パスキーは推測や盗聴がほぼ不可能な仕組みであり、認証情報の安全性を大きく高める技術だと評価されている。
グーグルは、パスキーの主な利点を次の3点にまとめている。
・フィッシング耐性:ユーザーが騙されてパスキーを攻撃者に渡すことができないため、パスキーは本質的にフィッシング攻撃に強い
・簡便性:パスキーによるサインインは、PINコードや指紋・顔認証でデバイスのロックを解除するのと同じくらい簡単に行える
・一意性:パスワードのように使い回されることはなく、各サービスやウェブサイトごとに固有のパスキーが生成される
さらに、従来のパスワードと二要素認証からパスキーへの切り替えは、こちらから短時間で完了し、ユーザー側の負担も少ない。導入しない理由は見当たらない。
新しいシスコ Talosレポートがグーグルの警告に重みを与える
シスコでTalosインテリジェンスグループの情報セキュリティアナリストを務めるレクシー・ディスコラは、最新のインシデント対応報告の概要で「フィッシングは依然としてハッカーによる初期侵入の主要手段です」と警告した。報告では、観測されたフィッシング攻撃の大半が認証情報の収集を目的としており、サイバー犯罪者は金融詐取や機密データ窃取といった侵害後に行う活動よりも、侵害した資格情報を転売する方が簡単で確実に利益を得られると考えていることが示唆されている。
また、攻撃者は正規で信頼されているメールアカウントを乗っ取り、それを利用して組織のセキュリティ制御を回避し、受信者に信頼感を与えている点も強調された。報告書で引用された一例では、被害者が偽のMicrosoft 365ログインページに誘導され、そこで偽の二要素認証コードの入力を求められていた。これは攻撃者がユーザーの認証情報やセッショントークンを盗むための手口とみられている。こうしたリスクはグーグルのプラットフォーム利用者に限らず、すべてのユーザーが十分に警戒する必要がある。
