Gmail ユーザーの 90% が利用していないセキュリティ対策

2018.02.01

10 億人の Gmail ユーザーに関する憂慮すべき事実を、Google がようやく認めました。それは、2 段階認証 (2SV) 機能をオンにしているユーザーがほとんどいないという現実です。


2SV の登場から 7 年が経ちましたが、導入率は未だ 10% 以下であると、Usenix のセキュリティカンファレンス「Enigma 2018」でエンジニアの Grzegorz Milka(リンク先:英語) 氏が語っています。


Milka 氏はさらに、Googleがスポンサーとなって 11 月に実施した、Gmail を標的にする犯罪者の手法と Gmail アカウントの価値が高騰した理由を分析した調査についても言及し、Google が現状に不満を抱いていることを明らかにしました。


「10% 以下」でも数千万アカウントに相当するため、これがそれほど悪い数字なのかはどうかは議論の余地がありますが、2011 年以降新規の Gmail ユーザーが増加しているにもかかわらず、2SV のユーザーは増えていないことは明らかです。


Gmail やその他のサイトで 2SV (多要素認証 (MFA) の 1 つ) を使用することの重要性は、Naked Security でも以前から取り上げているテーマです。2SV はセットアップが簡単でコストもかからず、何よりも攻撃が確実に難しくなります。


ではなぜ、Gmail ユーザーの関心が低いのでしょうか?


「本当に優れたアイデアなのであれば、Google はなぜ 2SV の使用を義務化しないのか」と問われた Milka 氏は、次のように答えています。


“(引用文日本語訳) 追加のセキュリティ機能の使用を強制した場合に、Gmail の使用を止めるユーザーがどのくらい出てくるかという問題があります。”


パスワードだけでも苦労しているユーザーにとっては、2SV という別のセキュリティ層を強制的に導入することによって使い勝手が悪くなるようです。


Google の姿勢が慎重なのも理解できますが、悲観的すぎます。2SV の本当の問題は、使用が面倒だという点ではなく (実際、面倒ではありません)、多くの人が 2SV のことを知らないか、知っていてもサービスごとに使用方法が異なることに困惑している点です。


Gmail で 2SV の使用を開始するには、Google のアカウント設定で「セキュリティ診断」を実行するという方法があります。この診断では、2SV がオンになっているかどうかが分かります。


オンになっていない場合、最も古いオプションである 2SV を SMS に追加するオプションを選択すると、ユーザーがログインするたびにワンタイムコードがテキストで送信されてきます。現在も Google を含む多くのサイトで使用できますが、SIM スワップなどの攻撃が登場したため、安全な方法とは言えなくなりました。


Google は最近、ユーザーを Google Prompt に誘導するようになっています。Google Prompt は、Google 独自のソフトウェア層を介して単純なイエス/ノーの質問を Android や iOS デバイスにプッシュ通知して、ログインを認証する機能です。

これよりも複雑で用途の広いオプションが、Google の Authenticator アプリをダウンロードする方法です。Authenticator はワンタイムコードを生成しますが、生成したコードを公衆ネットワーク経由で送信する必要はありません。また、Authenticator は WordPress、LastPass、Facebook などのサードパーティサービスでも動作します。


最も安全なオプションは、USB ベースの U2F YubiKey などのハードウェアトークンを使用する方法です。欠点は、コストが高いことと (約 20 ドル)、スマートフォンでは NFC 機能を搭載した別のトークンが必要だということです。


攻撃の標的になる危険性が高いと考える Gmail ユーザーは、Advanced Protection Program (APP) を使用することもできます。APP は、アカウントにアクセスする際に追加でチェックを行う無料サービスですが、手間が増えてもセキュリティを強化する必要がある場合にのみ推奨されるオプションです。


このように、問題は選択肢がありすぎることです。しかし、MFA を何も使用せずに重要なオンラインサービスを使用するよりも、有効な選択肢が多すぎるほうがはるかにましです。

引用元

おすすめの記事はこちら