連載
» 2016年12月28日 05時00分 公開

Tech TIPS:不正アクセスから守るために、Googleアカウントのセキュリティを強化する

不正アクセスや乗っ取り犯からGoogleアカウントを守るための対策として、手軽なものから効果の高いものまで複数紹介する。

[島田広道,デジタルアドバンテージ]
「Tech TIPS」のインデックス

連載目次

 どのようなネットサービスであっても、アカウントを乗っ取られたり不正アクセスの被害を受けたりしたくない。プライバシー情報が満載されたGoogleアカウントはその最たるサービスだろう。

 本TIPSでは、Google提供の機能を中心に、そのセキュリティを強化するための設定についてまとめてみた。以下、手軽な対策から順番に説明していく(全て実施することが望ましい)。なお、Webブラウザで設定を変更する前に、あらかじめ対象のGoogleアカウントでログインしておくこと。

「予備」のメールアドレスと電話番号を登録する

  • 【効果】不正アクセスに気付きやすくなる/アカウント復旧ができる
  • 【必要なもの】別のメールアドレス、SMSを受信できる電話番号
  • 【難点】不正アクセスそのものを防止できるわけではない

 対象のGoogleアカウントとは別のメールアドレスをGoogleアカウントに登録しておくと、Googleが不正アクセスを検知したとき、そのメールアドレスにも不正アクセスに関する通知が届くようになる。同様に電話番号を登録しておくと、SMS(テキストメッセージ)でその番号へ通知される。

 さらに重要なのは、アカウントにアクセスできなくなってしまったとき、これらの予備のメールアドレス/電話番号を介してアカウントの復旧ができることだ。後述のパスワード変更の前に、ぜひ設定しておきたい。

 メールアドレスについては、別のアカウントであればGmailでもよい。また、ここで登録した電話番号は上記の目的だけに利用され、広告や第三者への提供などには流用されないとのことだ。

Googleアカウントに「予備」のメールアドレスと電話番号を登録する Googleアカウントに「予備」のメールアドレスと電話番号を登録する
WebブラウザでGoogleのアカウント設定ページを開き、[ログインとセキュリティ]−[Googleへのログイン]−[再設定用のメールアドレス]または[予備の電話番号]をクリック/タップすると、それぞれ設定できる。

 さらに[ログインとセキュリティ]−[端末のアクティビティと通知]−[セキュリティ通知の設定]−[設定の管理]をクリック/タップして、「重大なセキュリティリスク」で[テキスト メッセージ]に通知が届くようにチェックを入れてオンにする。

使い回していないユニークなパスワードに変える

  • 【効果】他のサービスからパスワードが漏えいしてもGoogleアカウントは守れる(可能性が高くなる)
  • 【必要なこと】各端末に記憶させているパスワードの変更
  • 【難点】パスワードの管理が面倒になる

 近年、不正アクセスで目立つ攻撃手法は、あるネットサービスから漏えいしたID/パスワードをGoogleなど他のサービスへのログインに試してみる、というものだ。もしパスワードを複数のサービスで使い回していて、かつIDがメールアドレスと共通だと、この攻撃であっさりと不正にログインされてしまう。

 そのためパスワードはサービスごとに変えることが望ましい。最低限、Googleアカウントのようにプライバシー満載でID連携にも用いられるサービス、および決済ができるサービスには、それぞれ異なるパスワードを付けるようにしよう。

Googleアカウントのパスワードを変える Googleアカウントのパスワードを変える
WebブラウザでGoogleのアカウント設定ページを開き、[ログインとセキュリティ]−[Googleへのログイン]−[パスワード]をクリック/タップすると、パスワードを変更できる。

スマホがないとログインできないようにする(2段階認証)

  • 【効果】パスワードを知られてもアカウントを乗っ取られにくい
  • 【必要なもの】SMSまたは音声を着信できるiPhoneまたはAndroidスマートフォン、認証用アプリ
  • 【難点】ログインするときの手間が若干増える/メーラなどのアプリには専用パスワードの発行が必要

 若干面倒なものの、効果が高いのがこの2段階認証である。これを導入すると、従来からあるID/パスワード認証の次に、事前に設定したスマートフォンのアプリで別途認証するまでログインできなくなる。もしパスワードが漏えいしても、そのスマートフォンを勝手に操作されない限り、不正なログインをほぼ防げる*1

*1 2段階認証を経て「信頼できる」と設定した端末は、従来と同じくID/パスワードだけでログインできるようになる。こうした端末にパスワードを保存して自動ログインしていると、こっそり操作されたり盗難されたりしたとき、あっさりと不正アクセスを許してしまう。過信は禁物だ。


 Googleアカウントに2段階認証を導入するなら、スマートフォンにGoogle Nowアプリをインストールして認証に用いるのが手軽で便利だ。設定方法は次のTIPSを参照していただきたい。

スマートフォンに表示されるGoogleの2段階認証の確認画面 スマートフォンに表示されるGoogleの2段階認証の確認画面
これは2段階認証のための端末として設定したAndroidスマートフォンの例。何かの端末からGoogleアカウントにログインしようとすると、このような確認の画面がスマートフォンに表示されるので、正規のログインなら[はい]、そうでなければ[いいえ]をタップする。

パスワードはツールに覚えさせる

  • 【効果】パスワードを安全かつ簡単に管理できるようになる
  • 【必要なこと】パスワード管理ツールの導入
  • 【難点】導入に多少の手間がかかる/実用的には有償となることが多い

 「サービスごとにパスワードを変える」のが理想であるものの、これを行うとパスワードの総数は大幅に増えてしまう。サービス数が増えるにつれて記憶しきれなくなり、肝心なときに忘れてしまいがちなのは、もう人として必定だろう(だからこそパスワードの使い回しを減らせないわけだが)。

 そこで役立つのが、パスワードを管理するための専用ソフトウェアツールだ。各サービスのID/パスワード/URLなどを片っ端からパスワード管理ツールに登録しておくと、次のログインからは、そのツールがサービスのWebフォームにID/パスワードを自動入力してくれる。また類推されにくいランダムなパスワードの生成もしてくれる。

 ユーザーはそのツールを開くためのマスターパスワードのみ覚えておけばよい(顔や指紋で認証できる製品もある)。パスワード管理ツールの詳細は、次の記事を参照していただきたい。

 パスワード管理ツールを運用し始めるには、PCやスマートフォンなど複数の端末にツールのインストールが必要など、それなりに手間がかかる。年末年始のようにまとまった時間を取れる機会に試してみることをお勧めする。

「Tech TIPS」のインデックス

Tech TIPS

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。