グーグルはGmailユーザーに対し、アカウントを保護するよう警告し、パスキーの追加や弱いパスワードの変更を促している。また、ハッカーが盗まれた認証情報を使ってこれらのアカウントにアクセスしているとも警告している。2要素認証の迂回(バイパス)が著しく増えており、事態はさらに悪化している。セキュリティにSMSを使い続けるべきユーザーは、もはや1人もいない。
現在グーグルは、ユーザーがスマートフォンを完全に失う場合──本当に紛失したり破損したりした場合、あるいは今日ではより一般的な盗難に遭った場合──についても新たな警告を出している。スマートフォンの盗難は蔓延し、現在では世界中の主要都市のほとんどで問題化している。
「スマートフォンが紛失、盗難、破損する可能性は否定できません」とグーグルはいう。「そして、そうした頭痛の種に加えてグーグルアカウントへのアクセスまで失ってほしくないのです」。そのためグーグルは、ユーザーが「いまや自分のスマートフォンの電話番号でもアクセスを回復できる」ことを発表した。
この新しいオプションは「ユーザー名の代わりに電話番号でログインする」(Sign in with Mobile Number)と呼ばれ、「新しいAndroid端末での復旧を容易にする」(編注:iPhoneでも利用可能)。このセキュリティアップデートは「あなたの電話番号を使ってアカウントを自動的に特定する。検証に必要なのは、以前の端末のロック画面パスコードだけで、パスワードは不要だ」としている。
これはすべてのグーグルアカウントに関わるが、なかでも最も重視されるのはGmailである。Gmailは、他のプラットフォームのアカウント復旧やサインインの手段を提供し、多数の個人情報を含み、しばしばオンライン上の一意の識別子でもあるからだ。「これは世界中で段階的に導入している」とグーグルは述べる。「お手元のスマートフォンでもまもなく表示されるはずです」。
グーグルはまた「アカウント復元用の連絡先」(Recovery Contacts)オプションも導入した。同社はこれについて「信頼できる友人や家族を復旧用連絡先として指定できる。パスワードを忘れた場合、パスキーデバイスを失った場合、あるいはアカウントが侵害された場合に、これらの連絡先が本人確認を手助けし、簡単かつ安全な方法でアクセスを回復できる」と説明している。
スマートフォンの電話番号による復旧オプションは有益だが、この連絡先オプションには多くのリスクが伴う。これは、より大規模な攻撃の一環として、偽の復旧用連絡先を指定させるようユーザーをだますソーシャルエンジニアリング攻撃への招待状になり得る。システムによる自動検証機能があるスマートフォンの電話番号システムとは異なり、これは完全に手動であり、安全性を確認する仕組みが存在しない。
リスクを取ってもよいなら、グーグルによれば「アカウント復元用の連絡先」はグーグルアカウントの「セキュリティ」から見つけられる。同社は、個人情報の管理を容易にするためにこのセクションを新たに再設計したとしている。筆者からは、指定する前によく考えるべきだと助言しておこう。
