今回の震源
Gmail乗っ取りが大流行中!被害報告まとめ - Togetter
これがはてなブックマークされ
http://b.hatena.ne.jp/entry/togetter.com/li/428959
ほどなくして各種ネットメディアで取り上げられるようになったと。
Gmail乗っ取りの報告相次ぐ - ねとらぼ
Gmailの乗っ取りが国内で相次ぐ、パスワードの強化や2段階認証の利用を | 日経 xTECH(クロステック)
個人的に最も震え上がった情報は、はてなブックマークで付けられていたこのコメント
mkusunok 私の周りのITリテラシー高いはずの人々がセキュリティ専門家も含めて被害に遭ってる。これらの人々がフィッシングに遭ったとも信じられずパスワードの流出経路が気になるところ
http://b.hatena.ne.jp/mkusunok/20121226#bookmark-125928838
セキュリティの専門家までやられたというのが怖いです。
経路などは全く不明
例えば、
- SNSなどで同じパスワードを使っていた。
- スマホのアプリを入れるときに、アプリの権限をチェックしていない。
- Google以外のサイトで、Gmailのアドレスとパスワードでサービスを利用できるというのでそれらを入力した。
- ネットサーフしていて、リンクをクリックしたらなんかよくわからない外国語のサイトだった。
なんていう経験をしていたのならば、それが原因かも、と考えられるのですが、今回はそういう情報がほとんど出てきていません。出てくるのは、心当たりがないとか、2段階認証してるのにやられたとか。そういう情報すら数が少ないため、どこまでが事実なのかも不明です。
一方で、Togetterのまとめでも、「乗っ取られた」という話よりも、「うちも攻撃されていた(Googleがブロックしてくれた)」という話も多く、攻撃のすべてが防ぎようのないものではなさそうです。
ここから憶測
情報が少なすぎるので推測とすら呼べない内容ですが、こんなことなのかなあと、ぼんやり考えています。
- 複数の手口による被害報告が混在しているのではないか。すなわち、初歩的な対策でも防げるものと、セキュリティに強い人でもやられてしまうような厄介なもの。
- 実はずっと以前からアカウント乗っ取りの被害はあって、ここにきて急増したわけではないのではないか。Togetterのまとめで表に出てきただけ。
- セキュリティに強い人すらやられてしまうような手口のものは、広範囲に広がるようなものではないのかもしれない。(ウイルスで広めるようなものではなく、どこかの拠点からGmailにアタックをかけているような)
とはいえ、下手の考え休むに似たりというやつで、ろくに知識もない私がこれ以上考えたってしょうがないわけです。
今回、情報不足なために、防ぎようのない攻撃が広範囲で発生しているという最悪の事態も想像しちゃって軽く恐慌状態に陥っていたのですが、まあこうして整理してみるとそういう事態ではない可能性の方が高いかなと。その後の進展も全く見られませんし。
で、どうする
いわゆるパンデミックのような状態ではないとしても、Googleのアカウントが継続的に狙われていることは間違いありません。それだけGmailなどのアカウントが狙われる対象としてうまみの大きいものになってきたということなのでしょう。利便性もユーザーも増大し続ける以上、攻撃されるリスクが今後も下がるとは思えません。これを機に、ちょっとやそっとでは乗っ取られないような対策をするのが最善と思います。
まあ、やることや今後も気を付けることと言えば以下のようなことなのかなと。
Gmailで2段階認証を有効にする。
やり方はこちらがくわしいかな。
ちなみに、2段階認証、面倒くさいという人も多いですが、実際にやってみたら、そんな大した手間はありませんでした。
2段階認証を有効にした後は、自分の使っている機器(パソコン、スマホなど)からのログインを一回やり直さないといけないのですが、パソコンは別としてスマホとかは一回きりで終わりますから。むしろこれで一度自分の管理している機器だけがGmailにアクセスできるという安心感があります。
パスワード管理の強化。
アルファベット、数字、記号の組み合わせで使いまわしも危険、となると覚えるのが大変です。この問題を解決する方法の一つが、「共通の文字列+サービスやサイト名の類」としてすべてのサービスで違うパスワードにするという手段が知られています。重要かつ狙われる危険の高いGmailに関してはこの共通の文字列の部分も別にします。
というのも、パスワードの文字列にサービスやサイト名が混ざっていれば、ほかのサービスではそこを入れ替えてみるだけでパスワード破られてしまいますから。共通の文字列部分も、2〜3種類くらい用意しておいた方がいいと思います。
スマートフォン管理の強化
Android、iPhoneとも、パソコンよりもセキュリティは強固なのですが、Androidの場合は、アプリを入れるときにユーザーがシステムへのアクセス権限をアプリに許可しなければなりません。必要ないはずのアクセス権限(ゲームのくせにアドレス帳にアクセスするのを許可しろとかいうもの)を要求するアプリは絶対に入れないのが基本です。
それ以外にも、AndroidはOSのアップデートのできない機種が多いなど、多様な問題があるうえ、Googleアカウントと密接につながっているので、アンチウイルスソフトを入れてセキュリティを強化する必要があるでしょう。
iPhoneはAppleの厳しい審査を通らないとアプリをインストールできないのでより安全ではあります。しかし、iOS4.3.3までのiPhone,iPad,iPodの場合は、サイトを開いただけで非正規のルートでアプリをインストールできてしまう穴があることが知られています。そういうサイトへのリンクを開いてしまうと攻撃されるための穴が開き、そこから機器を乗っ取られてしまう可能性が考えられます。今のところ、OSを最新のバージョンにすれば大丈夫で、バージョンアップができない場合は何らかのセキュリティアプリを導入すると安心できるのではないかと思います。
怪しいリンクを察知できる注意力を身に着ける。
サイトを開いただけで感染するウイルス対策のために、知り合いからのメールであったとしても、最近会っていないのに「先日の写真です。リンクはこちら。」なんてのが来たら警戒する。警戒の必要なリンクは、クリックする前にaguse.jp: ウェブ調査などのURLチェッカーで安全性を確認する。短縮URLは特に注意する。
パスワードの確認画面に気を付ける。
こちらはフィッシングサイト対策。サイトのURLの確認。市販のアンチウイルスソフトにはその辺を警告してくれるものもあったりします。
