私はこれまでグーグルのセキュリティに関する多数の記事を執筆してきたが、なかでも世界最大級の無料メールサービスであるGmailについては、脆弱性や脅威キャンペーン、パスワード流出といったリスクに関する警告を中心に取り上げてきた。加えて、攻撃リスクの低減策についても、グーグルが発信する情報をもとに、具体的なアドバイスを提供してきたのである。しかし最近、読者より「ハッカーによってGmailアカウントを奪われ、あらゆる手段を講じても再ログインが不可能となった」との報告を受けた。この“完全なロックアウト”という状況は、極めて深刻な懸念材料であると言わざるを得ない。さらにグーグルからも「現在調査中であり、近い将来、具体的なガイダンスを発表する予定である」との回答があったことから、懸念は一層高まっている。
本稿では、アカウントへの再アクセスを根本的に不可能にする新手のGmailハッキング手法と、被害を防ぐための対策について考察する。
今回明らかになった手口は、本来はアカウント保護を目的とした機能を悪用し、アカウント所有者を完全に締め出すという極めて巧妙なものであった。具体的には、攻撃者が被害者のアカウントの年齢情報を10歳に書き換えた上で、自身が管理するファミリーアカウントの子どもアカウントとして登録するという手法である。実際、Reddit上のGmail専用フォーラムには、12年前に作成されたアカウントが「10歳」とされ、所有者が完全にアクセス不能となった事例が報告されている。
論理的に考えれば、12年前に作成されたアカウントの所有者が10歳であるはずがないが、現行のシステムではこの矛盾が自動的に検知されることはなかった。その結果、攻撃者によって子どもアカウントとして設定された被害者は、グーグルが提供する多様なアカウント復旧手段を一切利用できない状態に追い込まれてしまったのである。さらに、攻撃者はアカウント解放の対価として被害者にギフトカードの送付を要求するなど、極めて悪質な行為に及んでいる。
このような手口について、他のユーザーからも「子どもアカウント機能の悪用はハッカーの間で一般的な戦術になりつつあり、現状では復旧が極めて困難である」との指摘が相次いだ。また、「アカウントの生年月日を変更する際には、すべての認証要素の再提示を必須とすべきである」といった具体的な改善提案も寄せられている。
グーグルの広報担当者によれば、同社セキュリティチームはこの問題を「一部のハイジャッカーによる既知の手口」として調査しており、今後詳細なガイダンスを公表する予定だという。ただし、現時点では比較的まれなケースであるとしつつも、今後この手法が広く知られることにより被害が拡大する懸念は否定できない。
当面の対策としては、二段階認証の有効化やパスキーの導入、アカウントに紐付けられた端末や連絡先情報の定期的な見直し、そして復旧用連絡先の設定などが推奨されている(詳細はグーグルのサポートページ参照)。
この種の攻撃に対しては、そもそもアカウントが侵害されないように事前にセキュリティ対策を徹底することが何よりも重要である。したがって、今すぐパスキーの設定や二段階認証の導入を行うことが強く求められると言えよう。
