特集
» 2015年01月14日 20時00分 UPDATE

Insider's Eye:Googleアカウントの乗っ取り対策「2段階認証」を導入する (1/2)

ネットワークサービスでは常に「アカウントが何者かに乗っ取られる」という危険性がある。自分が管理しているGoogleアカウントは大丈夫なのか、有効な対策は何か? グーグル提供の「2段階認証」を中心に解説する。

[島田広道,デジタルアドバンテージ]
Insider's Eye
Windows Server Insider


「Insider's Eye」のインデックス

連載目次

 ネットワークサービスのアカウント乗っ取りの被害が生じた、というニュースはしばしば見かける。

 Googleアカウントが乗っ取られた場合の被害については、説明するまでもないだろう。スパムの踏み台として利用されるだけならまだしも、大切な個人情報を悪用されたり金銭的な損害を受けたりする可能性だって大いにある。多種多様なグーグルのサービスを利用できるからこそ、万一の被害は大きくなりがちだ。何としても乗っ取りは避けたいし、万一乗っ取られたら速やかに回復しなければならない。

 そこで本稿では、Googleアカウントが乗っ取られていないか確認したり、できるかぎり乗っ取りを防いだりするための方法について解説する。キーワードは、以前からグーグルが提供している認証システム「2段階認証」である。

Googleアカウントが乗っ取られていないか調べる

 まずは、自分が管理しているGoogleアカウントが乗っ取られていないか確認すべきだろう。以下、絶対確実とは言えないが、乗っ取り犯の痕跡を洗い出せる方法をいくつか紹介する。

●「端末とアクティビティ」を確認する

 まずWebブラウザーを開いて対象のアカウントでGoogleにログインしてから、次のページを開く。使用するマシンはWindows/Mac OS X/LinuxなどのPCでも、Android/iPhoneといった携帯端末でも、どちらでもよい。

 すると、最近(過去28日間)Googleにログイン可能になった端末や、現在Googleにログインしている端末がリストアップされる。

「端末とアクティビティ」でGoogleアカウントの利用状況を確認する 「端末とアクティビティ」でGoogleアカウントの利用状況を確認する
これはWebブラウザーでGoogleにログイン後、「端末のアクティビティ」を開いたところ。最近Googleにログイン可能になった端末や、ログイン中の端末がリストアップされる。
  (1)各端末の項目をタップ(クリック)すると、Webブラウザーの種類やログインした日時、端末のおおまかな位置を確認できる。

 もし身に覚えのない端末がリストに含まれていたら、パスワードを変更するなどアカウントを守る対処をする必要がある。携帯端末の場合は、その項目をタップして表示される[削除]ボタンを押すと、以後のアクセスを禁止できる。

●アカウントのセキュリティに関わる「通知と警告」を確認する

 上記と同様に、次のGoogleアカウントのページを開いてみよう。

 すると、パスワードを変更したり、新たにログインしたりといったセキュリティ関連の操作の履歴が表示される(直近の28日分)。

「通知と警告」でGoogleアカウントの利用状況を確認する 「通知と警告」でGoogleアカウントの利用状況を確認する
これはWebブラウザーで「通知と警告」ページを開いたところ。最近実行したセキュリティ関連の操作の履歴が表示される。もし身に覚えのないログインなどが記録されていたら、アカウントが乗っ取られている可能性がある。
  (1)各項目をタップすると、このように端末側OSの種類やおおまかな場所、Webブラウザー、アクセス元のIPアドレスが表示される。

●Googleアカウントにアクセス可能なアプリやサービスなどを確認する

 Webブラウザーで次のGoogleアカウントのページを開くと、Googleアカウントにアクセス可能なアプリ、サイト、サービスの一覧が表示される。

 もし身に覚えのないアプリなどがあれば、乗っ取り犯が勝手にアクセスを許可している可能性がある。

Googleアカウントにアクセス可能なアプリやサイト、サービスを確認する Googleアカウントにアクセス可能なアプリやサイト、サービスを確認する
これはWebブラウザーで「アカウント権限」ページを開いたところ。携帯端末もリストアップされるのは、その端末で実行されるアプリのアクセス権を表しているからだ。
  (1)ページ左側に表示されたアプリや端末などの項目をタップすると、それに許可されているアクセス権などが表示される。[アクセス権を取り消す]ボタンを押すと、このアプリや端末は以後、当該Googleアカウントにアクセスできなくなる。

●メールの転送設定や送信履歴を確認する

 乗っ取り犯の目的がメールの盗み見であれば、犯人所有のメールアドレスに新着メールが転送される設定が仕込まれている危険性がある。そこでメール転送の設定も確認しておいた方がよいだろう。

 それにはGmailのトップ画面右上にある歯車のアイコンをクリックし、メニューから[設定]をクリックする(スマートフォン/タブレットから設定する場合は、右の関連記事のようにしてPC版Gmailを開いてから作業を進める)。設定画面が表示されたら、[メール転送と POP/IMAP]タブの「転送」欄に不審な転送先メールアドレスが登録されていないか調べる。

Gmailでメールが勝手に転送されていないか調べる(その1) Gmailでメールが勝手に転送されていないか調べる(その1)
これはPC版Gmailの設定画面で「メール転送と POP/IMAP」タブを開いたところ。
  (1)「転送」枠にこのようなメール転送の設定が勝手に行われていないか、確認する。

 同様に[フィルタ]タブでも、不審なメールアドレスに転送するようなフィルター設定がないか確認する。

Gmailでメールが勝手に転送されていないか調べる(その2) Gmailでメールが勝手に転送されていないか調べる(その2)
これはPC版Gmailの設定画面で[フィルタ]タブを開いたところ。
  (1)フィルターにこのような記述が含まれている場合、そのフィルターの条件に一致したメールが別のメールアドレスに転送されている。身に覚えのない転送フィルター設定がないか確認する。

 その他、[送信済みメール]フォルダーあるいはゴミ箱に覚えのない送信済みメールがないか確認するのも1つの手だ(もちろん乗っ取り犯がこれらのフォルダーから証拠となるメールを削除している可能性があるが)。

「パスワードの強化」は乗っ取り対策として十分か?

 アカウントの乗っ取りを防ぐ方法としては、「パスワードの強化」がよく挙げられる。それも、プログラムあるいは人間のどちらからも簡単には類推されないように、一般的には次のような条件を満たすパスワードに変更すべき、とされる。

  • 他のサービスで利用しているものとは別のパスワードを指定する(パスワードを使い回さない)
  • 長さは13〜16文字以上
  • 英文字の他、数字と記号も含める
  • 辞書に載っている単語を含めない(あるいは単語の一部を数字や記号で置き換える)

 しかし、こうした複雑なパスワードはユーザー自身にとっては覚えにくく、結果としてどこかにメモしてしまい漏えいにつながりやすい、という指摘はよく耳にする。となると、従来のパスワードだけに頼らないアカウント防御の方法も検討する必要がありそうだ。

パスワードが漏れても乗っ取りを防ぐ対策: 2段階認証

 グーグルが提供している「2段階認証」とは、通常のパスワード認証をした後に、携帯端末などを利用した2段階目の認証を加える、というものだ。たとえパスワードが突破されても、認証されていない端末からのログインを阻止することを目的としている。

 2段階認証を有効にした場合、従来のアカウント/パスワードでログインしようとすると、「確認コード」と呼ばれるパスコード(ワンタイムパスワード)の入力が求められるようになる。確認コードは、あらかじめ登録しておいた携帯電話やスマートフォンに送られるテキストメッセージや音声メッセージ、「Google認証システム」と呼ばれるスマートフォン/タブレット用アプリ(右上の関連記事参照)などで取得する必要がある。

 いったん確認コードを入力してログインに成功した端末は、認証済みとして扱われる。以後は確認コードの入力が不要になり、従来と同じログイン手順でサービスを利用できるようになる。その一方で、もし攻撃者が従来のパスワードを突破しても、未認証の端末からはログインできなくなる。

 いいことずくめのように思える2段階認証だが、導入する際には、Googleアカウントを利用する各アプリ/サービス/サイトで設定を変更するという手間もかかる。以下、基本的な導入方法と注意点を説明する。

●Googleアカウントに2段階認証を初めて導入する

 導入を始める前に必ず用意しなければならないのは、次のいずれかが利用可能な携帯端末(携帯電話/スマートフォン/タブレットなど)である。

  • 携帯通信キャリアのメールアドレス(一般的なインターネットメールサービスは不可)
  • 音声通話

 というのも、導入時に必要な確認コードの受信には、これらの手段しか利用できないからだ。「携帯通信キャリア」は、ドコモとau(KDDI)、ソフトバンクモバイル、Y!mobile(旧イーモバイルと旧ウィルコムを含む)に限られる。

 格安SIM/格安スマートフォンを利用しているといった理由から、携帯通信キャリアのメールアドレスを用意できない場合は、音声通話で確認コードを受け取る必要がある。その具体的な手順は右上の関連記事を参照していただきたい。本稿では、メールアドレスを利用した導入手順を紹介する。

 まずはWebブラウザーでGoogleにログインしてから、次のGoogleアカウントの設定ページを開く。

 下にスクロールして「ログイン」枠の「2段階認証プロセス」をクリック(タップ)すると、2段階認証の設定ウィザードが始まるので、以下の手順で進めていく。

Googleアカウントに2段階認証を導入する(その1) Googleアカウントに2段階認証を導入する(その1)
これはGoogleにログイン後、Googleアカウントの設定ページを開いたところ。
  (1)[2段階認証プロセス]をクリック(タップ)する。
次へ
Googleアカウントに2段階認証を導入する(その2) Googleアカウントに2段階認証を導入する(その2)
  (2)[設定を開始]をクリックする。
次へ
Googleアカウントに2段階認証を導入する(その3) Googleアカウントに2段階認証を導入する(その3)
導入時には確認コードを受け取る必要がある。ここでは、その送信先として携帯通信キャリアのメールアドレスを指定している。
  (3)「日本」を選ぶ。
  (4)メールアドレスの「@」より左側を入力する。
  (5)メールアドレスのドメイン名を選択する。携帯通信キャリアのドメインしか選択できないことが分かる。
  (6)ここでは「テキスト メッセージ」を選ぶ。音声通話によるコード受信の手順は、前述の関連記事を参照。
  (7)これをクリックすると、(3)(5)で指定したメールアドレスに確認コードが送信される。

 確認コードは、次のようなテキストメッセージで携帯端末に届く。

Date: Wed, 14 Jan 2015 8:18:32 +0900
From: noreply@google.com
To: *****@willcom.com  ……指定した通信キャリアのメール・アドレス
Subject:

Google 確認コードは 546368 です


携帯端末に届く確認コードのテキストメッセージの例

 本文にある「確認コードは」の右側に続く6〜8桁の番号を、先ほどの導入ウィザードの画面に入力する。確認コードは一定の時間が経つと無効になる(使えなくなる)ので、届いたら速やかに設定しよう。

確認コードを入力する 確認コードを入力する
この作業によって、2段階認証でのGoogleアカウントと携帯端末(のメールアドレス)との結びつきが実行される。
  (1)携帯端末に届いた確認コードを入力する。
  (2)これをクリックしてウィザードを進める。その後はデフォルトの設定のまま指示に従ってウィザードを完了させる。

 以上で2段階認証の導入は完了だ。

       1|2 次のページへ

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

Focus

- PR -

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。