2013年11月19日追記:
本Blog記事を書いた後、iOSの仕様が変更になり、OSに設定したGoogleアカウントをサードパーティーアプリで使えるようになりました。その他にもGoogleアカウントに2要素認証を取り入れることへの環境整備が進んできたと思います。従って、今後、私はGmailの2要素認証を使用することを推奨いたします。(中康二)


20130109
昨年末より、Gmailのアカウントを乗っ取られて知らない間にお知り合いにSPAMメールが送られていたとの声がネット上で多く見られます。どうやらGmailに対する不正アクセスが頻発しているようです。

複数の情報をまとめてみますと、
(1)まず、Google社から「不正なログインをブロックしました」とのメールが届いたという話があります。これは不正アクセスの試みがあったものの、実際にはログインできなかったというわけですから、悪意を持った者に狙われたものの、事実上被害はないということになります。(上記の画像がそのGoogleからのメールです)
(2)次の段階として、知らない間にお知り合い全員にメールが送信されていて、その中身は不正なWebサイトにリンクするURLだけだったというものがあります。これは悪意の第三者にログインされたわけですから、実際に乗っ取られたということになります。
(3)次に、異常を察知したGoogle社に、自分のアカウントをロックされてしまい、予め登録してあった別のメールアドレスや携帯電話などを使った認証プロセスを使用してパスワードを新しいものに変更してロックを解除したという話があります。

当然ながら、これらは(1)(2)(3)の順番に起こるものですので、(1)の数が最も多く、(2)、(3)の順番に発生頻度は少なくなっているようです。

この件が持ち上がってすでに2週間以上経過していますが、原因ははっきりとは分かっていません。そもそも、このような不正なアタックはいつも起こっているのですが、ここ数週間はその発生頻度が高くなっており、かつ何らかの理由により成功の確率が高くなっており、被害者が多くなっているのではないかと思います。

成功の確率が高くなっている原因としては推測するしかないのですが、過去に他のサービスで大量流出したメールアドレスとパスワードの組み合わせが、悪意をもった第三者の手に渡り、Gmailのアカウントに集中的な不正アクセスをしていることが考えられます。(例えばこのような事件です)

そして、多くのWeb媒体ではこれに対する対応として「Gmailの2要素認証を使用するように」と呼びかけています。しかし、この2要素認証ははっきりいって結構めんどくさいです。

Gmailをパソコンのブラウザだけで使用している場合ならいいのかも知れませんが、
・複数のブラウザを使用している場合には、その一つ一つで認証作業が必要です。
・メールソフトを使用している場合には、その一つ一つで認証作業が必要です。
・スマホでも認証作業が必要です。ブラウザとアプリで認証作業が必要です。
・カレンダーアプリでも認証作業が必要です。

私も過去に使用していたことがありますが、しばらくして面倒になってしまい、現在は使用していません。おそらく、普通の感覚をお持ちの皆様は、2要素認証は実際には使われないことと思います(私はこういうことに関しては面倒くさいことも喜んでやる方です。それでもやめてしまったくらい面倒なのです)。

セキュリティのことですから、楽観的に考えることは難しいかも知れません。2要素認証をしていなくて、不正アクセスされても、私は何の保障をすることもできません。ただし、Gmailが世界中でこれだけ活用されてきて、今までは大きな問題がなかったわけですから、今回の不正アクセスの多発ぐらいで、急に全員が2要素認証に移行することもないと思います。

私はその代わりに、パスワードを新しいものに変更することをオススメします。今回の原因が過去に流出したパスワードを利用してアタックしているのだとすれば、この対策で充分です。

その際には、他のサービスと同じパスワードを使用しないようにして下さい。Gmail専用のパスワードにして下さい。とりあえず、今のところはこれで充分だと思います。ご参考まで。



●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)