私はグーグルのセキュリティについて、たくさんの記事を書いている。なかでも世界で最も人気のある無料メールプラットフォームでありアクティブユーザーが20億人に達するGmailについての記事も多い。その多くは、最新の脆弱性アラートや脅威キャンペーン、そして時おり発生するGmailパスワード流出の警告に焦点を当てたものだ。どのようにすればあらゆる攻撃のリスクを軽減できるかというアドバイスも、必ず記事に盛り込んでおり、その多くはグーグル自身が発信する情報に基づいている。
そんな中、読者から「ハッカーにGmailアカウントを乗っ取られ、何をやっても2度とログインできない」と聞かされた。“何をやっても2度とログインできない”ともなると、深刻な懸念事項だ。そしてグーグルから、その件について「調査中であり、『近い将来』具体的なガイダンスを出す予定です」と知らされれば、懸念はいっそう大きくなる。以下では、アカウントへの再アクセスを不可能にしてしまうGmailハッキング攻撃とはどのようなものか、そして自分がその新たな被害者にならないために、どう身を守るべきかを説明する。
ハッカーは保護者/子ども向け保護機能を悪用し、侵害されたGmailアカウントを完全ロック
常連の読者ならすでに知っていると思うが、私は1980年代にハッカーとしてサイバーセキュリティの世界に足を踏み入れた。当時、「ハッキング」は犯罪ではなかった。文字通り、「承認されていないネットワーク侵入」という行為そのものを直接対象にする法律が、まだ存在していなかったからだ。もちろん犯罪としてのハッキングは、まったく別の話である。
そうした経緯もあり、「Gmailアカウントを侵害されただけでなく、復旧の見込みがほとんどない形でアカウントから締め出されてしまった」というユーザーの話を読んだとき、私のハッカーとしての頭が動き始めた。攻撃者が侵害後にパスワードを変更したとしても、アカウントのコントロールを取り戻す方法は、通常なら数多くあるはずだ。それなのになぜ、ここまで完全なロックアウトが起こりうるのかと不思議に思ったのである。
そして、ついに謎が解けた。これは、本来はアカウントを保護するための機能を悪用してアカウントを人質にとる、非常に巧妙なハッキング手法だったのである。
あるグーグルユーザーが、GmailのSubreddit(Reddit上のGmail専用フォーラム)に助けを求める投稿をした。そこには、攻撃者がその人のアカウントプロフィール上の年齢を10歳に変更し、そのうえで攻撃者の管理下にあるファミリーアカウントに、そのアカウントを追加した経緯が説明されていた。
ところが、その10歳に変更されたアカウントは、実際には12年前に作成されたものだという。論理的に考えれば、12年前に作られたアカウントの持ち主が「10歳」であるはずがない。高度なAIによる保護が当たり前になった今日なら、こうした矛盾はグーグルのアラームを鳴らしてもよさそうなものだと期待したくなるが、現実にはそうはならなかった。
侵害されたアカウントをファミリーアカウントに追加し、それを子どもアカウントとして設定することで、本来の所有者は完全に締め出され、グーグルが提供している無数のアカウント復旧オプションを一切利用できなくなってしまったのである。極めつけは、その後攻撃者が、アカウントを解放する見返りとして、被害者に複数のギフトカードを送るよう要求したことだ。「TL;DR(要するに):アカウントにアクセスされ、グーグルファミリーの子どもとして登録され、ロックアウトされた。助けてください」と被害者は締めくくっていた。
スレッドが進むにつれて、ほかのユーザーからも、子どもアカウントの仕組みを悪用する手口がハッカーの間で一般的な戦術になりつつあり、そこからの復旧は不可能に見える、との指摘が相次いだ。「アカウントの生年月日を変更する場合には、強制的な再認証(forced re-auth)を必須にし、すべての認証要素を提供しなければ変更できないようにすべきだと思います」と、非常にもっともなコメントも書き込まれていた。
