日本新闻: Gmailアカウントに対する復旧困難なハッキング手法の実態とグーグルの対応——子どもアカウント機能の悪用をめぐって

Gmailアカウントに対たいする復旧ふっきゅう困難こんなんなハッキング手法しゅほうの実態じったいとグーグルの対応たいおう——子こどもアカウント機能きのうの悪用あくようをめぐって

針對 Gmail 帳戶的、幾乎無法復原的駭客攻擊手法之實態，以及 Google 的應對措施——圍繞著兒童帳戶功能被濫用的問題

私わたしはこれまでグーグルのセキュリティに関かんする多数たすうの記事きじを執筆しっぴつしてきたが、なかでも世界せかい最大級さいだいきゅうの無料むりょうメールサービスであるGmailについては、脆弱性ぜいじゃくせいや脅威きょういキャンペーン、パスワード流出りゅうしゅつといったリスクに関かんする警告けいこくを中心ちゅうしんに取とり上あげてきた

我至今撰寫過許多與 Google 安全性相關的文章，其中尤其著重於身為全球最大級免費電子郵件服務的 Gmail，主要探討並警告其所面臨的各種風險，例如資安弱點、威脅行動（攻擊活動）以及密碼外洩等問題。

加くわえて、攻撃こうげきリスクの低減策ていげんさくについても、グーグルが発信はっしんする情報じょうほうをもとに、具体的ぐたいてきなアドバイスを提供ていきょうしてきたのである

此外，關於降低遭受攻擊風險的對策，我也依據 Google 所發布的資訊，持續提供具體可行的建議。

しかし最近さいきん、読者どくしゃより「ハッカーによってGmailアカウントを奪うばわれ、あらゆる手段しゅだんを講こうじても再さいログインが不可能ふかのうとなった」との報告ほうこくを受うけた

然而，最近我收到了讀者的回報，表示他們的 Gmail 帳戶遭駭客奪取，無論採取任何手段，都已經無法再次登入。

この“完全かんぜんなロックアウト”という状況じょうきょうは、極きわめて深刻しんこくな懸念けねん材料ざいりょうであると言いわざるを得えない

這種被稱為『完全鎖定（完全無法存取）』的狀況，不得不說是一項極其嚴重的隱憂。

さらにグーグルからも「現在げんざい調査中ちょうさちゅうであり、近ちかい将来しょうらい、具体的ぐたいてきなガイダンスを発表はっぴょうする予定よていである」との回答かいとうがあったことから、懸念けねんは一層いっそう高たかまっている

此外，由於 Google 方面也回覆表示『目前正在進行調查，並計畫在不久的將來發布具體的指引』，因此相關的憂慮進一步加深。

本稿ほんこうでは、アカウントへの再さいアクセスを根本的こんぽんてきに不可能ふかのうにする新手あらてのGmailハッキング手法しゅほうと、被害ひがいを防ふせぐための対策たいさくについて考察こうさつする

本文將探討一種會從根本上使帳戶無法再次存取的全新 Gmail 駭客攻擊手法，並同時考察防止受害的相關對策。

今回こんかい明あきらかになった手口てぐちは、本来ほんらいはアカウント保護ほごを目的もくてきとした機能きのうを悪用あくようし、アカウント所有者しょゆうしゃを完全かんぜんに締しめ出だすという極きわめて巧妙こうみょうなものであった

此次被揭露的手法，是濫用原本以保護帳戶為目的的功能，藉此將帳戶所有者徹底排除在外，可說是極其巧妙的攻擊方式。

具体的ぐたいてきには、攻撃者こうげきしゃが被害者ひがいしゃのアカウントの年齢ねんれい情報じょうほうを10歳さいに書かき換かえた上うえで、自身じしんが管理かんりするファミリーアカウントの子こどもアカウントとして登録とうろくするという手法しゅほうである

具體而言，攻擊者會先將受害者帳戶的年齡資訊改成 10 歲，接著把該帳戶登錄為由自己管理的家庭帳戶中的兒童帳戶，就是這樣的一種手法。

実際じっさい、Reddit上じょうのGmail専用せんようフォーラムには、12年前ねんまえに作成さくせいされたアカウントが「10歳さい」とされ、所有者しょゆうしゃが完全かんぜんにアクセス不能ふのうとなった事例じれいが報告ほうこくされている

實際上，在 Reddit 上的 Gmail 專用論壇中，已有案例被回報：一個在 12 年前建立的帳戶被標示為『10 歲』，導致帳戶所有者完全無法存取。

論理的ろんりてきに考かんがえれば、12年前ねんまえに作成さくせいされたアカウントの所有者しょゆうしゃが10歳さいであるはずがないが、現行げんこうのシステムではこの矛盾むじゅんが自動的じどうてきに検知けんちされることはなかった

從邏輯上來看，一個在 12 年前建立的帳戶，其所有者不可能只有 10 歲；然而在現行系統中，這樣的矛盾並未被自動偵測出來。

その結果けっか、攻撃者こうげきしゃによって子こどもアカウントとして設定せっていされた被害者ひがいしゃは、グーグルが提供ていきょうする多様たようなアカウント復旧ふっきゅう手段しゅだんを一切いっさい利用りようできない状態じょうたいに追おい込こまれてしまったのである

結果，受害者一旦被攻擊者設定為兒童帳戶後，便被迫陷入無法使用 Google 所提供的任何帳戶復原手段的狀態。

さらに、攻撃者こうげきしゃはアカウント解放かいほうの対価たいかとして被害者ひがいしゃにギフトカードの送付そうふを要求ようきゅうするなど、極きわめて悪質あくしつな行為こういに及およんでいる

此外，攻擊者甚至會以解除帳戶限制作為交換條件，要求受害者寄送禮品卡，行徑極其惡劣。

このような手口てぐちについて、他ほかのユーザーからも「子こどもアカウント機能きのうの悪用あくようはハッカーの間あいだで一般的いっぱんてきな戦術せんじゅつになりつつあり、現状げんじょうでは復旧ふっきゅうが極きわめて困難こんなんである」との指摘してきが相次あいついだ

關於這類手法，其他使用者也接連指出：『濫用兒童帳戶功能正逐漸成為駭客之間常見的戰術，而在目前的狀況下，帳戶復原極其困難。

また、「アカウントの生年月日せいねんがっぴを変更へんこうする際さいには、すべての認証にんしょう要素ようその再さい提示ていじを必須ひっすとすべきである」といった具体的ぐたいてきな改善かいぜん提案ていあんも寄よせられている

此外，也有人提出具體的改善建議，例如：『在變更帳戶出生年月日時，應將重新提交所有驗證要素列為必要條件。』

グーグルの広報こうほう担当者たんとうしゃによれば、同社どうしゃセキュリティチームはこの問題もんだいを「一部いちぶのハイジャッカーによる既知きちの手口てぐち」として調査ちょうさしており、今後こんご詳細しょうさいなガイダンスを公表こうひょうする予定よていだという

根據 Google 公關負責人的說法，該公司資安團隊已將此問題視為『部分帳戶劫持者所使用的既有手法』來進行調查，並表示未來將公布更為詳細的指引。

ただし、現時点げんじてんでは比較的ひかくてきまれなケースであるとしつつも、今後こんごこの手法しゅほうが広ひろく知しられることにより被害ひがいが拡大かくだいする懸念けねんは否定ひていできない

不過，儘管目前仍被認為是相對罕見的案例，但隨著這種手法在今後逐漸為人所知，受害情況擴大的風險仍然無法否認。

当面とうめんの対策たいさくとしては、二段階にだんかい認証にんしょうの有効化ゆうこうかやパスキーの導入どうにゅう、アカウントに紐付ひもづけられた端末たんまつや連絡先れんらくさき情報じょうほうの定期的ていきてきな見直みなおし、そして復旧用ふっきゅうよう連絡先れんらくさきの設定せっていなどが推奨すいしょうされている（詳細しょうさいはグーグルのサポートページ参照さんしょう）

作為當前的因應對策，建議啟用兩步驟驗證、導入 Passkey（通行金鑰），定期檢視與帳戶綁定的裝置及聯絡方式資訊，並設定帳戶復原用的聯絡方式等（詳細內容請參閱 Google 的支援頁面