ニュース

再設定用の電話番号を登録するだけで“Google アカウント”への攻撃の大半は防止可能

Googleが最新の研究結果を公表

公式ブログ“Google Japan Blog”

 米Googleは5月27日(日本時間)、アカウントの基本的なセキュリティ対策が乗っ取り防止にどれほど効果的かを調査した結果を公表した。この調査はニューヨーク大学とカリフォルニア大学サンディエゴ校の研究者の協力を得て、不特定多数を狙った攻撃と標的型攻撃を対象に1年かけて実施され、5月17日にサンフランシスコで開催された“The Web Conference”で報告された。

 調査結果によると、“Google アカウント”を再設定するための電話番号にSMSコードを送信するように設定するだけで、ボットによる自動攻撃を100%、不特定多数を狙ったフィッシング攻撃を96%、標的型攻撃を76%ブロックできたとのこと。

 同社はアカウントの乗っ取りからユーザーを保護するため、自動化した“プロアクティブな”セキュリティレイヤーを構築しており、もし不審なサインイン(新しい場所やデバイスからのサインイン)が検出されると、それがアカウント所有者によるものであるかを確認する。この時に利用されるのが信頼できる電話端末や秘密の質問だが、再設定用の電話番号を登録していれば2段階認証プロセスと同等のセキュリティ保護を受けることができる。

再設定用の電話番号を登録するだけで“Google アカウント”への攻撃の大半は防止可能

 さらに、SMSコードではなくスマートフォンに送られるプロンプトをタップする方法で本人確認を行った場合は、ボットによる自動攻撃を100%、不特定多数を狙ったフィッシング攻撃を99%、標的型攻撃を90%防ぐことができたとのこと。この設定は“Google アカウント”の2段階認証プロセスで簡単に有効化できるので、まだの場合は有効化しておくとよいだろう。

スマートフォンに送られる本人確認プロンプト
2段階認証プロセスの設定画面

 アカウント再設定用の電話番号を設定していなくても、“Google アカウント”では前回サインインした場所を聞くといった知識ベースのセキュリティ保護が行われる。この方法はボットに対しては効果的だが、フィッシングに対する保護率は10%程度まで低下する可能性がある。SMSや確認プロンプトなど、追加の本人確認プロセスを導入するメリットは大きいことがわかる。

 その一方で、追加の本人確認プロセスを導入すると、アカウントからロックアウトされるリスクが上がってしまうこともわかっている。今回の調査ではログインの問題が発生した際、38%のユーザーはスマートフォンを手元に持っておらず、34%のユーザーは予備のメールアドレスを思い出せなかった。追加確認のために登録しているスマートフォンやメールアドレスの管理は今後の課題となりそうだ。

 そのほかにも、同社はアカウント不正利用に関する継続的な対策の一貫として、 “Google アカウント”のハッキング1件つき750米ドルの賞金を提示している犯罪グループ“hack for hire”の調査を進めている。また、ジャーナリスト・活動家・ビジネスリーダー・政治活動グループなど、とくにリスクの高いユーザーに対して“高度な保護機能プログラム(Advanced Protection Program)”を提供しているほか、漏洩したID・パスワードを使っていると警告してくれる「Password Checkup」拡張機能を公開するなどの対策も実施している。