TechNote

とあるエンジニアのただのメモ

明日は我が身!? Googleアカウントに突然ログイン出来なくなったときの対応方法と周辺情報

先日Gmailを使おうとして、Googleアカウントに突然ログインできなくなるという恐ろしい事態に遭遇しました。この時、ググっても良い解決策がなくて困りましたので、私がとった解決策をまとめておきます。またその背景となる一通りの周辺情報もまとめておきます。

f:id:kojikoji75:20140322155644j:plain
photo credit: Basajaun via photopin cc

サマリー

1.Googleアカウントの乗っ取りが急増中
2.Googleアカウント乗っ取りの予防方法
3.Googleアカウントが乗っ取られていないか確認方法
4.もしGoogleアカウントが乗っ取られたら
5.もしGoogleアカウントが乗っ取られて予備アカウントも乗っ取られたら(←メイン)



1.Googleアカウントの乗っ取りが急増中


自分が実際にログインできなくなって初めて調べてみましたが、「googleアカウント ログインできない」などでググってみると、出てくる検索結果の多さに驚かされます。個人のブログでも、特に2013年あたりから乗っ取られ記事が多い模様。それだけ多くの人が遭遇する可能性がある「一般的な」話ということでしょう。

【警報】ここ数日でGmailの乗っ取りが半端ない件。2段階認証も突破の恐怖!!

Googleアカウントが乗っ取られて多額の不正請求が・・・ - あらきんぐのiPhoneアプリ開発ブログ

Gメールの乗っ取りが国内で相次ぐ 2段階認証などの対応を :日本経済新聞

ちなみに、アカウントを乗っ取られたらどうなるかというと、主な被害報告としては、下記のようなものが報告されていました。

  • Gmailで登録している連絡先アドレスに大量のスパムメールが送信された
  • GooglePlayで有料アプリを購入され多額の請求がきた

要は個人情報流出から予想される被害全般と考えておいてよいでしょう。




2.Googleアカウント乗っ取りの予防方法


アカウントハックの手口としては、パスワードに対する総当たり攻撃(ブルートフォースアタック)や漏えいしたハッシュをレインボーテーブルで平文になおす、などが考えれます。このため、個人で対策としてできることは以下の3つくらいだと思われます。

(1)パスワードは複雑に

総当たり攻撃(ブルートフォースアタック)は、プログラムによって辞書にある単語や数字のあらゆる組み合わせを全て試みてくる攻撃です。

英語辞書にあるような単語に数字を少し付加した程度だと簡単にハックされてしまいます。(正確にはハックではなくクラックですが)

最近ではパスワード初期設定時に、ありきたりのパスワードだったら登録時にはじくようにしてあるサービスも多いので、この部分の意識は持たれている方が多い気がします。

f:id:kojikoji75:20140322144956p:plain


(2)パスワードは異種サービスで使い回さない

多くの人が実際やっていますね。ID・パスワードを多く覚えなくて済むように異種サービス(googletwitterfacebookamazonなど...)のパスワードを一つに統一していると、どれか一つが漏えいした際に連鎖的に被害をこうむる危険性が高くなります。


(3)Googleアカウントの場合は「2段階認証」を使う

Googleは2段階認証という機能を用意しています。
これは簡単にいうと、ID・パスワードの入力後、さらにワンタイムパスワードの入力が求められるというもの。詳しくは下記。
2 段階認証プロセスについて - Google アカウント ヘルプ






3.Googleアカウントが乗っ取られていないか確認方法


不正ログインの有無は「アカウントアクティビティ」という画面で確認できます。(Gmailの最下部)

f:id:kojikoji75:20140322145138p:plain

アメリカ合衆国から何やら不審なアクセスがあることがわかります。
f:id:kojikoji75:20140322145201p:plain







4.もしGoogleアカウントが乗っ取られたら


乗っ取られた方のほとんどが書いていますが、まず、Googleアカウントにログインしようとすると「パスワードは○日前に変更されています」という状態になります。

f:id:kojikoji75:20140322145234p:plain



当たり前ですがどんなに正確に打ちなおしてもログインできません。わたしもCapsLock、全角/半角、Numlockなど切り替えてみてもログインできず、テキストエディタからのペーストを試してもうまくいかない段階にきて焦り出し、ググってみて、これが「乗っ取り」であることにようやく気付いた次第です。誰でもまさか自分にこんな危険が迫るとは考えないものです。

ですがこの場合、おそらく大抵の方は以下の方法で復旧することができます。



(1)「お困りの場合」をクリック

f:id:kojikoji75:20140322145307p:plain


(2)「パスワードがわからない」にチェックし「続行」

f:id:kojikoji75:20140322145344p:plain


(3)「予備」として設定しておいたアドレスを入力し「続行」

f:id:kojikoji75:20140322145413p:plain
ここでは「予備でどのメールアドレスを設定していたか?」が本人確認の意味をなしています。

予備で設定しておいたメールアドレスに救済メールが送られますので、それにしたがって乗っ取られたアカウントのパスワード再設定が可能となります。

パスワードを再設定したら急いでログインし、然るべき措置を取りましょう。




5.もしGoogleアカウントが乗っ取られて予備アカウントも乗っ取られたら(←メイン)


通常は4の手順でうまくいくはずですが、私の場合は、予備アカウントに救済メールを見にいこうとした際に、予備アカウントさえも乗っ取られてログインできないことに気づきました。(どちらもかなり昔から使用しているアカウントで、パスワードも恥ずかしながら単純なものでした。そしてどちらもしばらくログインしていませんでした。)

万事休すかとしばらく画面を眺めていたところ、Googleの粋な計らいに気づくことができました。

f:id:kojikoji75:20140322145523p:plain



ここを選択すると、以下のような要素で本人確認が行われます。そして予備メール以外の新たに指定したメールアドレスへ救済メールが送信され、そこでパスワード再設定ができるという非常に画期的なものでした。

  • 秘密の質問の答え
  • アカウントの使用開始時期
  • Gmailでよく使用する連絡先メールアドレス(5件まで)
  • Gmailで使用するラベルの名前(4つまで)
  • 予備のメールアドレス
  • 最後にログインした日
  • Googleで使用しているサービスとその開始時期

 :

「秘密の質問」などはよく見る救済方法ですが、それに加えて様々な角度の情報から本人確認を行うという画期的な救済措置です。(秘密の質問の答えを忘れてskipした場合でも、その他の情報の正解率等から本人確認がなされます)

おかげさまで私も無事にアカウントを復旧するに至りました。

今回伝えたかったことは、実はアカウント乗っ取りの恐ろしさより、この救済措置の素晴らしさのほうだったりします。Webサービスを作るときの気配り面での参考にもなりました。


あわせて読みたい

 Googleが推奨するWebサイト移転時のリダイレクト方法 - TechNote Googleが推奨するWebサイト移転時のリダイレクト方法 - TechNote

古いサイトを再構築しないといけなくなるような機会は誰にでもあるだろう。このときサイトの設置場所(サーバ)が変わらない場合でも、WAF(WebApplicatio...

一度は観ておきたい!エンジニアが主役の映画5選 (とそこで使われている技術を少々) - TechNote一度は観ておきたい!エンジニアが主役の映画5選 (とそこで使われている技術を少々) - TechNote

以前から一度まとめてみたかったタイトルの件、今更ながらまとめておきます。観たい映画がなくなった方や、エンジニアとして働いてるけど目標を見失ったという方のご参考に...

斎藤孝 オススメ本(6) 上機嫌の作法 - TechNote斎藤孝 オススメ本(6) 上機嫌の作法 - TechNote

上機嫌の作法 (角川oneテーマ21)作者:齋藤孝出版社/メーカー:角川書店発売日:2005/03メディア:新書購入: 14人クリック: 140回この商品を含む...


Googleサービス超活用 Perfect GuideBook

Googleサービス超活用 Perfect GuideBook