WebサービスやWebアプリケーションは日々便利になっている。依存度も上がる一方だ。Google Chrome OSが成功を収めることになればその傾向はますます強まることになる。しかし大きな問題もある。たとえばGoogleの場合、Gmailのパスワードが盗まれてしまえば、Googleの提供しているすべてのサービスを一気に失うことになる。Amit Agarwal氏がGmail and Google Apps Account Hacked But Restored Soon Afterにおいて、自身のGmailおよびGoogle Appsのアカウントが盗まれたときの話をまとめている。実際のできごとが簡潔にまとまっており参考になる。
Amit Agarwal氏のもとには頻繁にGoogleから『パスワードアシスタンス』メールが送られて来ていたという。パスワードをリセットするためのメールだが、本人にはそうした設定をした覚えがないため無視していたという。誰か第三者がパスワードのリセットを試みていたことになる。同じようにリセットメールを無視していたわけだが、ある時そうしたメールを無視した5分後に、手持ちの携帯がGmail / Google Appsからメールを取得できないという問題を報告。MS Outlookも機能しなくなったという。この時点でどうやらパスワードが盗まれ、設定の変更とパスワードの変更が行われたようだという。
同氏は次の内容を想定。
- 強いとみられるパスワードを使っていた。推測でパスワードを見つけることは不可能だろう
- 何度もリセットメールが送られてきていたことを考えると、推測によるパスワードの発見は失敗したに違いない
- 公共のスペースからGmailにログインしたことはない
- フェイクのGoogleログインページリンクをクリックしたこともフィッシング攻撃にあったこともない
- GmailアカウントをGoogle Appsのセカンドアドレスに設定していたため、Gmailアカウント経由でGoogle Appsのアカウントも盗まれたのではないか
結局、どうやってパスワードが盗まれたかはわからない。次の作業をおこなって、3時間後に復旧に成功したという。
- Twitterに事の次第を報告
- Googleの何人かにコンタクトをとるとともにリカバリフォームを入力
同氏は自分はラッキーだったと語っており、事態を知った何人かが手助けしてくれたことを説明している。Inboxにはパスワードを盗んだ本人と見られる人物が、「悪気があってアカウントを盗んだのではなく、ただ脆弱性を探すのを楽しんでいただけだ」というメッセージを残していたという。Amit Agarwal氏はこれら経験を踏まえて、GmailおよびGoogle Accountを守るための8つの方法を紹介している。
- Gmail / Google Accountと携帯番号を関連付けておく。何者かがパスワードのリカバリを求めた場合にSMSテキストメッセージでそれを知ることができる (注意: 日本ではSMSのサービスは提供されていない)
- Yahoo! MailでもGmailでもいいが、新しくメールカウントを作成して既存のGmailやGoogle Accountsのセカンドアドレスとして登録する。作成したアカウントは手動でチェックするかPOP3やIMAPを経由してデスクトップで閲覧する
- リカバリで入力を求められるため、アカウントを作成した年月、招待でアカウントを作成したなら招待してくれたユーザのアドレス、もっともよくメールを送っているメールアドレス上位5つ、カスタムラベルの名前、Googleサービスを使い始めた年月日などを書き留めておく
- Gmail、Google Accoount、セカンドメールなどで同じパスワードを使わない
- 無線ネットワークを経由してGmailやGoogle Serviceにアクセスする場合はHTTPSを使う
- Gmail画面のフッタに掲載されているIPアドレスをチェックし、知らないIPからアクセスがないか調べる。同氏のケースではクラッカーはGmailをHotmailで利用できるように設定を変更し、以降はGmailログインをする必要がないようにしていた
- Gmailが危険にされされた状態でも少なくとも以前のメールにアクセスできるようにYahoo! MailやHotmailなどほかのメールサービスにメールをコピーしておく。またはOutlookやThunderbirdなどを使ってGmailのメールを自動的にバックアップするようにする
- パスワードリカバリを一回実施して、設定したセカンドアドレスや携帯に正しく連絡がくるかどうかを確認しておく (注意: 日本ではSMSのサービスは提供されていない)
またGoogle Appsユーザには次のアドバイスが紹介されている。
- Webに公開されているメールアドレスをGoogle Appsの管理者権限アカウントで利用しない
- Google Apps dashboardに頻繁にアクセスしているならgoogle.comへのCNAMEを新しく作成し自分がWebドメインの本当のオーナーであることを検証できるようにする
GmailやGoogle Accountsのセカンドアドレスを常にアクセス可能な最新のものに更新するとともに、セキュリティクエッションを適切なものに保持し続けることの重要さはこれまで何度もGoogleから警鐘されている。パスワードが盗まれた場合のリカバリに必要になるからだ。