グーグルは、パスワードや多要素認証トークン、Cookie(クッキー)を盗み出そうとするハッカーの動きが激しくなる中、「アカウント乗っ取りへの防御」がますます難しくなっていると警告している。Google アカウントを失うこと自体が悪夢だが、事態はそれで終わらない可能性がある。その結果、ハッカーがグーグル以外のあらゆるサービスのあなたのアカウントにもアクセスできるようになってしまうかもしれないのだ。
複数のデバイス間でGoogle Chromeを同期しているのであれば、Chromeがどれほど多くのデータを収集し、あなたのGoogle アカウントに紐づけてグーグルのクラウド上に保存しているかを知れば、おそらく愕然とするだろう。それには、本来グーグルとは関係のない、個人的で注意の必要なデータも含まれている。そうしたデータは、ハッカーがあなたの認証情報の窃取に成功しさえすれば、すべて「取り放題」の状態にある。
グーグルは次のように説明している。「すべてのデバイスで、ブックマークやパスワードなどの情報を利用できます。Chromeにログインすると、情報をGoogle アカウントに保存できます。同じアカウントでログインしているすべてのデバイスで、その情報を利用できるようになります」。
そこには、「ブックマーク、履歴と開いているタブ、パスワード、支払い情報、住所、電話番号、Google Payに保存した支払い情報、Google アカウントに保存したパスワード、Google アカウントに保存した住所」が含まれる。
Chrome Sync(Chromeの同期機能)の有効・無効は、Chromeの設定から切り替えられる。「すべてを同期」するか、「カスタマイズ」で自分用の同期対象リストを選ぶかを指定できる。つまり、パスワードや支払い情報がすべてのデバイス間で同期されないようにすることも可能だ。確かに不便ではあるが、この同期はあなたのアカウントへのサインインだけを鍵としたグーグルのクラウド経由で行われている以上、そのほうが安全だ。
別の問題もある。「Google パスワード マネージャー」は、実態としてはChromeのパスワードマネージャーにほかならない。そしてセキュリティ専門家は、ブラウザーにパスワードを保存することに警鐘を鳴らしている。1つのパスワードで自分の各種アカウントと保存済みパスワードの両方にアクセスできてしまううえ、ブラウザーを狙った攻撃は決して珍しくなく、保存されたパスワードがそうした攻撃のリスクにさらされるからである。
『1Password(ワンパスワード)』や『Bitwarden(ビットワーデン)』など独立した専用のパスワードマネージャーを利用したほうが、安全性もセキュリティも高くなる。
さらに、Google アカウントにパスキーを追加し、SMSではない形式の多要素認証を有効にしていることも必ず確認すべきだ。米国のサイバー防衛機関はGoogle アカウントの利用者に対し、「その他の、安全性の低い多要素認証(MFA)の方式は無効にすること」、そして「既存のパスワードを見直し、十分な長さがあり、一意であり、かつランダムであることを確認すること」と警告したばかりである。
いますぐChrome Syncの設定を確認し、必要に応じて更新すべきである。また、同期をリセットして過去のデータを削除し、自分のクラウドアカウントに危険な情報が潜んでいないことを確実にすることもできる。
