先日Gmailを使おうとして、Googleアカウントに突然ログインできなくなるという恐ろしい事態に遭遇しました。この時、ググっても良い解決策がなくて困りましたので、私がとった解決策をまとめておきます。またその背景となる一通りの周辺情報もまとめておきます。
photo credit: Basajaun via photopin cc
1.Googleアカウントの乗っ取りが急増中
自分が実際にログインできなくなって初めて調べてみましたが、「googleアカウント ログインできない」などでググってみると、出てくる検索結果の多さに驚かされます。個人のブログでも、特に2013年あたりから乗っ取られ記事が多い模様。それだけ多くの人が遭遇する可能性がある「一般的な」話ということでしょう。
【警報】ここ数日でGmailの乗っ取りが半端ない件。2段階認証も突破の恐怖!!
あらきんぐのiPhoneアプリ開発ブログ – FC2 BLOG パスワード認証
Gメールの乗っ取りが国内で相次ぐ 2段階認証などの対応を – 日本経済新聞
ちなみに、アカウントを乗っ取られたらどうなるかというと、主な被害報告としては、下記のようなものが報告されていました。
- Gmailで登録している連絡先アドレスに大量のスパムメールが送信された
- GooglePlayで有料アプリを購入され多額の請求がきた
要は個人情報流出から予想される被害全般と考えておいてよいでしょう。
2.Googleアカウント乗っ取りの予防方法
アカウントハックの手口としては、パスワードに対する総当たり攻撃(ブルートフォースアタック)や漏えいしたハッシュをレインボーテーブルで平文になおす、などが考えれます。このため、個人で対策としてできることは以下の3つくらいだと思われます。
(1)パスワードは複雑に
総当たり攻撃(ブルートフォースアタック)は、プログラムによって辞書にある単語や数字のあらゆる組み合わせを全て試みてくる攻撃です。
英語辞書にあるような単語に数字を少し付加した程度だと簡単にハックされてしまいます。(正確にはハックではなくクラックですが)
最近ではパスワード初期設定時に、ありきたりのパスワードだったら登録時にはじくようにしてあるサービスも多いので、この部分の意識は持たれている方が多い気がします。
(2)パスワードは異種サービスで使い回さない
多くの人が実際やっていますね。ID・パスワードを多く覚えなくて済むように異種サービス(google、twitter、facebook、amazonなど…)のパスワードを一つに統一していると、どれか一つが漏えいした際に連鎖的に被害をこうむる危険性が高くなります。
(3)Googleアカウントの場合は「2段階認証」を使う
Googleは2段階認証という機能を用意しています。
これは簡単にいうと、ID・パスワードの入力後、さらにワンタイムパスワードの入力が求められるというもの。詳しくは下記。
2 段階認証プロセスを有効にする – パソコン – Google アカウント ヘルプ
3.Googleアカウントが乗っ取られていないか確認方法
不正ログインの有無は「アカウントアクティビティ」という画面で確認できます。(Gmailの最下部)
アメリカ合衆国から何やら不審なアクセスがあることがわかります。
4.もしGoogleアカウントが乗っ取られたら
乗っ取られた方のほとんどが書いていますが、まず、Googleアカウントにログインしようとすると「パスワードは○日前に変更されています」という状態になります。
当たり前ですがどんなに正確に打ちなおしてもログインできません。わたしもCapsLock、全角/半角、Numlockなど切り替えてみてもログインできず、テキストエディタからのペーストを試してもうまくいかない段階にきて焦り出し、ググってみて、これが「乗っ取り」であることにようやく気付いた次第です。誰でもまさか自分にこんな危険が迫るとは考えないものです。
ですがこの場合、おそらく大抵の方は以下の方法で復旧することができます。
(1)「お困りの場合」をクリック
(2)「パスワードがわからない」にチェックし「続行」
(3)「予備」として設定しておいたアドレスを入力し「続行」
ここでは「予備でどのメールアドレスを設定していたか?」が本人確認の意味をなしています。
予備で設定しておいたメールアドレスに救済メールが送られますので、それにしたがって乗っ取られたアカウントのパスワード再設定が可能となります。
パスワードを再設定したら急いでログインし、然るべき措置を取りましょう。
5.もしGoogleアカウントが乗っ取られて予備アカウントも乗っ取られたら(←メイン)
通常は4の手順でうまくいくはずですが、私の場合は、予備アカウントに救済メールを見にいこうとした際に、予備アカウントさえも乗っ取られてログインできないことに気づきました。(どちらもかなり昔から使用しているアカウントで、パスワードも恥ずかしながら単純なものでした。そしてどちらもしばらくログインしていませんでした。)
万事休すかとしばらく画面を眺めていたところ、Googleの粋な計らいに気づくことができました。
ここを選択すると、以下のような要素で本人確認が行われます。そして予備メール以外の新たに指定したメールアドレスへ救済メールが送信され、そこでパスワード再設定ができるという非常に画期的なものでした。
- 秘密の質問の答え
- アカウントの使用開始時期
- Gmailでよく使用する連絡先メールアドレス(5件まで)
- Gmailで使用するラベルの名前(4つまで)
- 予備のメールアドレス
- 最後にログインした日
- Googleで使用しているサービスとその開始時期
:
「秘密の質問」などはよく見る救済方法ですが、それに加えて様々な角度の情報から本人確認を行うという画期的な救済措置です。(秘密の質問の答えを忘れてskipした場合でも、その他の情報の正解率等から本人確認がなされます)
おかげさまで私も無事にアカウントを復旧するに至りました。
今回伝えたかったことは、実はアカウント乗っ取りの恐ろしさより、この救済措置の素晴らしさのほうだったりします。Webサービスを作るときの気配り面での参考にもなりました。