Gメールの乗っ取りが国内で相次ぐ　2段階認証などの対応を

2012年12月24日以降、Webメールサービス「Gmail」のアカウントを乗っ取られる事件が国内で相次いでいる。日経パソコン編集部にも、乗っ取られたアカウントから送信されたとみられるメールが複数送られてきた。Gmailユーザーは、パスワードの強化や2段階認証の有効化が急務。既に乗っ取られていないかどうか、ログイン履歴（アカウントアクティビティ）も確認しよう。

被害に遭ったユーザーによるネットへの書き込みなどによると、Gmailのパスワードが推測や総当たり攻撃により破られて、不正にログインされているようだ。不正にログインした攻撃者はそのユーザーになりすまし、アドレス帳に登録されているメールアドレスに対して、迷惑メール（スパム）を送信している。

迷惑メールの本文には、特定のURLだけが記載されている（図1）。このURLのWebサイトに誘導することが攻撃者の目的だったと考えられる。同サイトは現在では閉鎖されている。件名には何も書かれていない。

今回の被害は、迷惑メールの送信だけだったようなので、それほど甚大ではない。パスワードも変更されなかったようなので、乗っ取りに気付いた正規ユーザーは、すぐに対策（パスワードの変更やアカウントの削除など）を取ることができた。

しかし、アカウントを乗っ取られると、より深刻な被害が発生する危険性がある。まず、今回の事件のように、ユーザーをかたって迷惑メールや詐欺メールなどを送信される恐れがある。また、パスワードを変更されていれば、正規ユーザーでもログインできなくなる。つまり、該当のGmailアカウントを利用できなくなる。

Googleが提供する別のWebサービスにログインされる恐れもある。過去に送受信されたメールを調べられて、他社が提供する別のWebサービスに不正ログインされる危険性もある。

Gmailユーザーとしては、まずは自分のアカウントが悪用されていないことを確認するとよいだろう。Gmailにログイン後、Gmailページの画面右下に表示される「アカウント アクティビティの詳細」をクリックすると、最近のログイン状況が表示される（図2）。

ここで、自分に覚えがないログイン情報が表示されたら、乗っ取られた可能性が高い。「送信済みメール」を確認して、怪しいメールが送信されていないかどうか調べるとともに、アカウントのセキュリティーを高めよう（詳細は後述）。そのアカウント（メールアドレス）を連絡先として登録している別のWebサービスでも、異常がないか調べた方がよい。

乗っ取られた形跡がある場合はもちろん、そうでない場合でも、これを機にパスワードを見直そう。複雑なパスワードを設定するのは面倒ではあるが、アカウントを乗っ取られたときの被害の大きさを考えれば、ぜひ取り組んでおくべきだ。

強固なパスワード作成と管理の基本方針は、

・一見ランダムな文字列にする

・記号や数字を必ず入れる

・肌身離さず持ち歩いている手帳や管理ツールに"覚えさせる"

具体的な作成方法や管理方法については、ウェブサイト「PC Online」に掲載されている「パスワード管理」に関する記事（http://pc.nikkeibp.co.jp/security/password/）などを参考にしてほしい。

グーグルでは、ログイン時のセキュリティーを高めるために、「2段階認証」と呼ばれるログイン方法を用意している。アカウントの乗っ取り対策に非常に有効なので、ぜひ利用してほしい。Gmail（Googleアカウント）の設定を変更すれば、誰でもすぐに利用できるようになる。

ここでの2段階認証とは、ログイン時に、あらかじめ登録したパスワードに加えて、1回限り有効なパスワード「ワンタイムパスワード（確認コード）」を要求する認証方式（認証技術）のこと。

2段階認証を有効にした場合のログイン手順は以下の通り。まずは、通常と同じように、ログイン画面にユーザー名とパスワードを入力する。これらが正しいと、6桁の確認コードを入力させる画面が表示されるとともに、一定時間有効な確認コードが、あらかじめ登録したスマートフォンなどに送信される。送られてきた確認コードを、前述の画面に入力するとログインできる。

セキュリティーを高められる2段階認証だが、毎回入力しなければならないのでは面倒だ。そこで、自分以外は利用しない自宅のパソコンなどでは、確認コードの入力を省略できる。

具体的には、確認コードで最初にログインする際に、「このパソコンを信頼できるパソコンとして登録する」をチェックすると、以降、そのパソコンからは、通常のユーザー名とパスワードだけでログインできるようになる（図3）。

2段階認証を有効にする方法はいくつかある。例えば、Gmailにログイン後、右上に表示される自分のユーザー名をクリックすると表示されるバルーン（小さい画面）で「アカウント」を選択する。

表示されたアカウントページ（https://www.google.com/settings/account）の画面左側に表示される「セキュリティ」をクリックすると、「2段階認証プロセス」という項目が表示される。その右側の「編集」をクリックすると、2段階認証の設定画面が表示されるので、指示に従って必要な情報を入力していく。

例えば、「コードの受け取り方法」に「テキスト メッセージ（SMS）」を選び、携帯電話/スマートフォンのメールアドレスを登録すれば、そのアドレス宛てに、6桁の確認コードが送られてくる（図4）。

また、「コードの受け取り方法」に「音声通話」を選択して、電話番号を登録しておけば、その番号宛てに電話がかかってきて、音声で確認コードを伝えてくれる。

なお、2段階認証を有効にする設定の途中でも、確認コードの入力が必要となる。その際、「このパソコンを信頼できるパソコンとして登録する」にチェックを入れたままで登録作業を進めると、以降、そのパソコンでは確認コードの入力は不要になる（図5）。

2段階認証を有効にする際の注意点は、Webブラウザーの外部で動作するアプリケーション（例えば、スマートフォンで動作するGmailアプリ）を利用できなくなる恐れがあること。それらの中には、2段階認証に未対応で、確認コードを入力する機能がないアプリケーションがある。

そういったアプリケーションについては、2段階認証に代わる方法として、「アプリケーション固有のパスワード」を生成しておく必要がある。そのアプリケーションについては、通常のパスワードの代わりに、生成した「アプリケーション固有のパスワード」を設定しておく。詳細については、グーグルのWebサイトを参照してほしい。

（日経パソコン　勝村幸博）

［PC Online 2012年12月27日掲載］