最近起きたグーグルのデータベースの1つが攻撃を受けた件を理由に、グーグルが25億人のGmailユーザー全員に対し、アカウントが危険にさらされているとして緊急警告を出したという話が拡散している(1、2、3)。これらの話は完全に誤解を招くもので、そのような警告は存在しない。
グーグルはすでに対応しており、筆者に対して次のように説明した。「残念ながら今週、当社が重大なGmailのセキュリティー問題について全ユーザーに広範な警告を発したと主張する、不正確な情報が複数浮上しました。これは完全に誤りです」。
グーグルは、この話が拡散することでユーザーの間に「危険な」パニックが生じていることを懸念している。「フィッシング詐欺師が受信トレイに侵入する方法を常に探しているのは事実ですが、当社の保護機能は、ユーザーに到達しようとするフィッシングやマルウェアの試みの99.9%以上を引き続きブロックしています」とのことである。
グーグルは次のように述べる。「セキュリティは全ての企業、顧客、そしてユーザーにとって非常に重要な項目であり、当社はこの取り組みに極めて真剣に向き合っています。私たちのチームは多大な投資を行い、常に技術革新を続け、存在するリスクと私たちが講じている保護措置について明確にお伝えしています。この分野での対話が正確かつ事実に基づくことが極めて重要です」。
ただしこれは、グーグルとGmailのアカウントにリスクがないという意味ではない。もちろんリスクは存在する。それらは依然としてフィッシングやその他の攻撃の主要な標的であり続けているが、それはこれまでと同じだ。企業向け(B2B)広告システム内でのデータ侵害によって、アカウントが一斉に危険にさらされているわけではない。
グーグルは、ユーザーが利用するすべてのグーグルプラットフォームや、グーグルの認証情報でログインするサービスに適用できる、多数の保護機能を提供している。そのため、アカウントのセキュリティを強固に保つことが極めて重要となる。
グーグルはパスキーと2要素認証(2FA)を推奨
だからこそ同社は、パスキー(Passkeys)と、強力な形式の2要素認証(2FA)を推奨している。ここでいう強力な形式とは、SMSによるワンタイムコード「以外」のものを指す。認証アプリが最適だが、アカウントにとって真の砦となるのはパスキーだ。パスキーなら、ロック解除された端末に物理的に接触できる本人だけがアカウントにログインできるようになる。回避されたり盗まれたりすることがなく、遠隔での使用は不可能だ。もしパスキーを利用できないなら、他では使い回していない、強力でユニークなパスワードを設定することを徹底すべきだ。
フィッシング攻撃に関するガイダンスと対策
今回、誤解を招く話が広まっていることを受け、グーグルは「Gmailの保護機能は強力かつ有効であることを、ユーザーの皆様に改めてお伝えしたい」と述べた。そして、フィッシング攻撃に関するガイダンスと利用可能な対策を参照するようユーザーに促した。
結論としては、大規模なGmailのデータ侵害も、25億人のユーザーに対する一斉警告も存在しない。いくつかの別個の話が、実際には起きていないデータ侵害として混同され、ユーザーが不安に駆られているのは無理もない。しかし、心配する必要はない。
お詫びと訂正
Zak Doffmanの記事「グーグル、Gmailユーザーの大半が「パスワードを変更する必要性がある」と認める」を8月26日に掲載していましたが、Gmailのパスワードが漏洩したという事実はありません。お詫びして訂正します。
なおZak Doffmanは、8月28日には「Google’s Gmail Upgrade—Why You Need A New Password」として正しい情報をまとめた記事をフォーブスサイトに掲載していましたが、Forbes JAPANでは掲載していませんでした。この点についてもお詫びします。
