Googleが「安全のため」と2要素認証デバイス「YubiKey」を勝手に無効化してしまう事態が発生

ウェブサービスやアカウントにログインするためのパスワードは、どれだけ複雑にしていてもデータ侵害による情報漏えいなどで盗まれてしまう可能性があります。しかし、2要素認証を設定しておけば、IDやパスワードが漏れてしまってもアカウントにログインされる心配はなくなります。そんな2要素認証を手軽に導入できるデバイスが「YubiKey」なのですが、Googleアカウントで「YubiKey」を利用していたという人物が、「Googleがアカウントで使用していたYubiKeyを勝手に削除してしまった」と報告しています。

Google removed my Yubikeys from a google account 'Just to be safe' | lunnova.dev
https://lunnova.dev/articles/google-just-to-be-safe/

スマートフォンでは指紋認証や顔認証といった機能が当たり前のように搭載されていますが、そういったセキュリティ機能を有していないPCや、普段使用していない端末でも手軽に2要素認証が可能になるというデバイスが「YubiKey」です。使い方は簡単で、GIGAZINEでもUSB Type-CとNFCを搭載した「YubiKey 5C NFC」を過去にレビューしています。

スマホでもPCでも使えるUSB Type-CとNFCを搭載した物理セキュリティキー「YubiKey 5C NFC」レビュー - GIGAZINE

また、世界中に多くの従業員を抱えながら秘匿性の高い情報を取り扱うGoogleでは、「YubiKey」を導入したことで従業員のフィッシング被害が激減したことが報告されていました。

Google従業員のフィッシング被害を撲滅した最新の高セキュリティ対策法とは？ - GIGAZINE

2022年12月26日に昔から利用しているというGoogleアカウントにログインしてYouTubeのクリエイタースタジオを開こうとしたエンジニアのLuna Novaさんは、Googleアカウントから強制的にログアウトさせられ、エラーページが表示されるという事態に遭遇したそうです。そこで再度アカウントにログインしようとして、2要素認証デバイスとして使用していたYubiKeyを端末に挿したところ、パスワードが強制的にリセットされ、以下のメッセージが表示されたそうです。

画面の指示に従いGmailの設定画面を開いたところ、数年間使用していたメールの転送ルールが削除されていたことに気づいたとNovaさん。その後、再度YouTubeのクリエイタースタジオにアクセスしたところ、またしても強制的にアカウントからログアウトさせられ、パスワードの再設定を求められたとのこと。さらに、この時は「安全性のため」として、「2要素認証設定」「セキュリティキー」「最近行われたGmailでの設定変更」のすべてが強制的に削除されてしまったことを通知されます。

Novaさんは「ユーザーからの要求なしに2要素認証デバイスをアカウントから削除することは、疑わしいアクティビティに対する最悪の反応だ」と、Googleの対応を批判しています。

このGoogleアカウントにおける謎の挙動は掲示板・Hacker Newsでも話題になっています。ある有識者は「Googleは通常、他の誰かがアカウントにアクセスして何らかの変更を加えたと思われる際に、Novaさんが体験したような変更を加えます。これは攻撃者が独自の2要素認証デバイスを登録したり、アカウントの回復方法を変更したりして、正当なユーザーをアカウントから遠ざけようとする行為に対処するためのものです。したがって、2要素認証デバイスを削除すること自体は不合理なものではありません」と、Google側の対応に理解を示しています。

一方で、Novaさんのように特定のサービスにアクセスした際にのみこういった対処が行われる理由は不明とのことで、「ロジックに何らかのバグがある可能性がある」といった声も複数挙がっていました。

なお、記事作成時点ではGoogleからの詳細な説明はないため、なぜNovaさんのGoogleアカウントはYouTubeのクリエイタースタジオを開くと強制的にログアウトさせられてしまい、2要素認証デバイスの設定が削除されてしまうのかは不明です。