Додати переклад

<span class="" word="G">G</span><span class="" word="m">m</span><span class="" word="a">a</span><span class="" word="i">i</span><span class="" word="l">l</span><span class="" word="ア">ア</span><span class="" word="カ">カ</span><span class="" word="ウ">ウ</span><span class="" word="ン">ン</span><span class="" word="ト">ト</span><span class="" word="に">に</span><ruby ><rb><span class="" word="対">対</span></rb><rt>たい</rt></ruby><span class="" word="す">す</span><span class="" word="る">る</span><ruby ><rb><span class="jlpt-n1" word="復旧">復旧</span></rb><rt>ふっきゅう</rt></ruby><ruby ><rb><span class="jlpt-n3" word="困難">困難</span></rb><rt>こんなん</rt></ruby><span class="" word="な">な</span><span class="" word="ハ">ハ</span><span class="" word="ッ">ッ</span><span class="" word="キ">キ</span><span class="" word="ン">ン</span><span class="" word="グ">グ</span><ruby ><rb><span class="jlpt-n1" word="手法">手法</span></rb><rt>しゅほう</rt></ruby><span class="" word="の">の</span><ruby ><rb><span class="jlpt-n1" word="実態">実態</span></rb><rt>じったい</rt></ruby><span class="" word="と">と</span><span class="" word="グ">グ</span><span class="" word="ー">ー</span><span class="" word="グ">グ</span><span class="" word="ル">ル</span><span class="" word="の">の</span><ruby ><rb><span class="jlpt-n1" word="対応">対応</span></rb><rt>たいおう</rt></ruby><span class="" word="—">—</span><span class="" word="—">—</span><ruby ><rb><span class="" word="子">子</span></rb><rt>こ</rt></ruby><span class="" word="ど">ど</span><span class="" word="も">も</span><span class="" word="ア">ア</span><span class="" word="カ">カ</span><span class="" word="ウ">ウ</span><span class="" word="ン">ン</span><span class="" word="ト">ト</span><ruby ><rb><span class="jlpt-n3" word="機能">機能</span></rb><rt>きのう</rt></ruby><span class="" word="の">の</span><ruby ><rb><span class="unknown" word="悪用">悪用</span></rb><rt>あくよう</rt></ruby><span class="" word="を">を</span><span class="" word="め">め</span><span class="" word="ぐ">ぐ</span><span class="" word="っ">っ</span><span class="" word="て">て</span>

Gmailアカウントに対たいする復旧ふっきゅう困難こんなんなハッキング手法しゅほうの実態じったいとグーグルの対応たいおう——子こどもアカウント機能きのうの悪用あくようをめぐって

私わたしはこれまでグーグルのセキュリティに関かんする多数たすうの記事きじを執筆しっぴつしてきたが、なかでも世界せかい最大級さいだいきゅうの無料むりょうメールサービスであるGmailについては、脆弱性ぜいじゃくせいや脅威きょういキャンペーン、パスワード流出りゅうしゅつといったリスクに関かんする警告けいこくを中心ちゅうしんに取とり上あげてきた。

加くわえて、攻撃こうげきリスクの低減策ていげんさくについても、グーグルが発信はっしんする情報じょうほうをもとに、具体的ぐたいてきなアドバイスを提供ていきょうしてきたのである。

しかし最近さいきん、読者どくしゃより「ハッカーによってGmailアカウントを奪うばわれ、あらゆる手段しゅだんを講こうじても再さいログインが不可能ふかのうとなった」との報告ほうこくを受うけた。

この“完全かんぜんなロックアウト”という状況じょうきょうは、極きわめて深刻しんこくな懸念けねん材料ざいりょうであると言いわざるを得えない。

さらにグーグルからも「現在げんざい調査中ちょうさちゅうであり、近ちかい将来しょうらい、具体的ぐたいてきなガイダンスを発表はっぴょうする予定よていである」との回答かいとうがあったことから、懸念けねんは一層いっそう高たかまっている。

本稿ほんこうでは、アカウントへの再さいアクセスを根本的こんぽんてきに不可能ふかのうにする新手あらてのGmailハッキング手法しゅほうと、被害ひがいを防ふせぐための対策たいさくについて考察こうさつする。

今回こんかい明あきらかになった手口てぐちは、本来ほんらいはアカウント保護ほごを目的もくてきとした機能きのうを悪用あくようし、アカウント所有者しょゆうしゃを完全かんぜんに締しめ出だすという極きわめて巧妙こうみょうなものであった。

具体的ぐたいてきには、攻撃者こうげきしゃが被害者ひがいしゃのアカウントの年齢ねんれい情報じょうほうを10歳さいに書かき換かえた上うえで、自身じしんが管理かんりするファミリーアカウントの子こどもアカウントとして登録とうろくするという手法しゅほうである。

実際じっさい、Reddit上じょうのGmail専用せんようフォーラムには、12年前ねんまえに作成さくせいされたアカウントが「10歳さい」とされ、所有者しょゆうしゃが完全かんぜんにアクセス不能ふのうとなった事例じれいが報告ほうこくされている。

論理的ろんりてきに考かんがえれば、12年前ねんまえに作成さくせいされたアカウントの所有者しょゆうしゃが10歳さいであるはずがないが、現行げんこうのシステムではこの矛盾むじゅんが自動的じどうてきに検知けんちされることはなかった。

その結果けっか、攻撃者こうげきしゃによって子こどもアカウントとして設定せっていされた被害者ひがいしゃは、グーグルが提供ていきょうする多様たようなアカウント復旧ふっきゅう手段しゅだんを一切いっさい利用りようできない状態じょうたいに追おい込こまれてしまったのである。

さらに、攻撃者こうげきしゃはアカウント解放かいほうの対価たいかとして被害者ひがいしゃにギフトカードの送付そうふを要求ようきゅうするなど、極きわめて悪質あくしつな行為こういに及およんでいる。

このような手口てぐちについて、他ほかのユーザーからも「子こどもアカウント機能きのうの悪用あくようはハッカーの間あいだで一般的いっぱんてきな戦術せんじゅつになりつつあり、現状げんじょうでは復旧ふっきゅうが極きわめて困難こんなんである」との指摘してきが相次あいついだ。

また、「アカウントの生年月日せいねんがっぴを変更へんこうする際さいには、すべての認証にんしょう要素ようその再さい提示ていじを必須ひっすとすべきである」といった具体的ぐたいてきな改善かいぜん提案ていあんも寄よせられている。

グーグルの広報こうほう担当者たんとうしゃによれば、同社どうしゃセキュリティチームはこの問題もんだいを「一部いちぶのハイジャッカーによる既知きちの手口てぐち」として調査ちょうさしており、今後こんご詳細しょうさいなガイダンスを公表こうひょうする予定よていだという。

ただし、現時点げんじてんでは比較的ひかくてきまれなケースであるとしつつも、今後こんごこの手法しゅほうが広ひろく知しられることにより被害ひがいが拡大かくだいする懸念けねんは否定ひていできない。

当面とうめんの対策たいさくとしては、二段階にだんかい認証にんしょうの有効化ゆうこうかやパスキーの導入どうにゅう、アカウントに紐付ひもづけられた端末たんまつや連絡先れんらくさき情報じょうほうの定期的ていきてきな見直みなおし、そして復旧用ふっきゅうよう連絡先れんらくさきの設定せっていなどが推奨すいしょうされている（詳細しょうさいはグーグルのサポートページ参照さんしょう）。

この種しゅの攻撃こうげきに対たいしては、そもそもアカウントが侵害しんがいされないように事前じぜんにセキュリティ対策たいさくを徹底てっていすることが何なによりも重要じゅうようである。

したがって、今いますぐパスキーの設定せっていや二段階にだんかい認証にんしょうの導入どうにゅうを行おこなうことが強つよく求もとめられると言いえよう。