Googleが「メールアカウントをハッキングされないようにする方法」を伝授

By Jay Wennington

3200万件分のTwitterアカウント情報が売買されていたり、Gmail・Hotmail・Yahoo!などから2億7200万件のメールアドレスとパスワードが流出したり、ロシア最大のSNSから1億件分のパスワードが流出したりと、身近なSNSやメールアカウントサービスで大規模な情報漏洩が起こることはそれほど珍しいことではありません。そんなハッキング被害から身を守るための方法をGoogleが伝授してくれています。

Google Online Security Blog: New research: Understanding the root cause of account takeover
https://security.googleblog.com/2017/11/new-research-understanding-root-cause.html

How To Prevent Your Email Account Being Hacked? Google Study Explains
http://www.ibtimes.com/how-prevent-your-email-account-being-hacked-google-study-explains-2613509

2016年に行われたアメリカ大統領選挙において、民主党候補のヒラリー・クリントン氏側の陣営で選挙対策委員長を務めたのがジョン・ポデスタ氏です。そんなポデスタ委員長のメールアカウントがハッキングされ、クリントン陣営のメール数万通がWikiLeaksで公開されました。

ポデスタ委員長のメールアカウントをハッキングした方法は、非常に単純な方法であったそうです。ハッカーはポデスタ委員長にアカウントがハッキングされたと通知を送り、Googleのログイン画面に偽装した画面上でパスワードの変更作業を実行させることで、ポデスタ委員長のメールアカウントのログイン情報を盗み出すことに成功しています。その後、ハッカーはポデスタ委員長のメールアカウントから得た情報をWikiLeaks上で公開し、2016年のアメリカ大統領選挙の結果に少なからず影響を与えました。


こういった方法は、Googleの無料メールサービスであるGmailのアカウントをハッキングする手法のひとつに過ぎません。Googleの調査によると、ユーザーの15%以上が2016年3月から2017年3月までの約1年間で、ソーシャルメディアまたはメールアカウントの乗っ取りを経験したと報告しており、同期間に78万8000件分のアカウント情報がハッカーにより盗まれていることも明らかになっています。

Googleはカリフォルニア大学バークレー校と協力して、アカウントの乗っ取りがどのように起こるかを追跡調査しています。調査では2016年3月から2017年3月までの1年間でいくつかのブラックマーケットを分析することで、アカウント乗っ取り犯が盗んだパスワードやその他のデータをどのように管理しているのかを調べています。調査に携わった研究者は、テキサス州のダラスで開催されたComputer and Communications Security Conferenceの中で研究結果の詳細を公表しています。

By Blake Connally

調査によると、多くの人が複数のアカウントで同じパスワードを利用しているため、ハッカーが何かしらのアカウントのパスワードを入手することに成功すると、他サービスのアカウントもハッキング可能になってしまうケースが多いとのこと。また、ハッカーはキーロガーフィッシングツールなどの洗練された技術やソフトウェアを用いる場合が多く、ターゲットとなったユーザーのIPアドレスを収集していることも明らかになっています。これらの情報を基に、ハッカーはユーザーパスワードなどのより重要な情報を盗み出すそうです。

調査結果を受けて、GoogleはGmailアカウントをより安全にすると主張しています。また、政治家や俳優などの「ハッキングのターゲットになりやすい人物」に対しては、より先進的なセキュリティを提供していくことも発表しています。これに加えて、Googleはアカウントを安全に保つための方法として、「パスワードジェネレーターを使用して安全なパスワードを設定すること」と「2段階認証プロセスを有効にすること」を挙げています。Googleによると、この2つを実施するだけでGmailアカウントはほぼハッキング不可能な状態になるそうです。

Googleアカウントの2段階認証プロセスは以下のページから使用することができます

Google 2 段階認証プロセス


なお、その他のユーザー側で取れる対策としては、「潜在的に危険をはらむようなサイトを訪問しない」や「メールに含まれた怪しいリンクをクリックしないこと」が挙げられています。

・関連記事
スマホがあればパスワードなしでセキュアにMicrosoftアカウントにログインできる「Microsoft Authenticator」 - GIGAZINE

「世界で最もセキュアなメールプロトコル」をうたうサービス「nomx」は容易にハック可能と専門家が指摘 - GIGAZINE

スマホやPCで使えるメッセージアプリのセキュリティ面を比較するとこうなる - GIGAZINE

iOSが「セキュアで使いやすい」のはiPhoneのロック解除が1日平均80回も行われているから? - GIGAZINE

パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める - GIGAZINE

158

in ネットサービス,  セキュリティ, Posted by logu_ii