ユーザーデータを​安全に​保つための​ Google の​取り組み

Pietraszek さんの​チームは​ユーザー アカウントの​保護に​取り組んでいますが、​ハッカーに​よる​不正アクセスを​阻止するには​どう​すれば​よいですか？

ユーザー アカウント セキュリティの​プリンシパル ソフトウェア エンジニア、​Tadek Pietraszek: 第一に、​最初の​攻撃を​検出できることが​重要です。​私たちは​不審な​アクティビティを​特定する​ために、​100 を​超える​変数を​使用しています。​たとえば、​ドイツに​住んでいて​ほとんど​海外旅行を​しない​ユーザーが​いたとして、​何者かが​ドイツ以外の​国から​その​アカウントに​アクセスしようとした​場合、​その​ユーザーに​対して​警告を​行います。

Google の​プライバシー＆セキュリティ チームの​エンジニアリング部​門ディレクター、​Stephan Micklitz: Google が​ときどき登録電話番号や、​アカウント所​有者しか​知り得ない​その​他の​情報の​確認を​行うのは​その​ためです。

Tadek Pietraszek 氏​（左）に​とって、​フィッシングは​オンライン セキュリティの​最大の​脅威の​一つです。

このような​攻撃は​どの​くらいの​頻度で​発生するのでしょうか？

Pietraszek 氏: 毎日​何十万件もの​サイバー攻撃が​仕掛けられています。​最大の​問題は、​ハッキングされた​ウェブサイトから​盗まれた​ユーザー名と​パスワードの​リストが、​インターネット上に​無数に​公開されている​ことです。​多くの​ユーザーが​異なる​アカウントに​同じ​パスワードを​使用している​ため、​そうした​リストには​ Google アカウントの​ログインデータも​含まれています。

そのような​リストの​存在が、​最大の​セキュリティ脅威であると​いう​ことですか？

Pietraszek 氏: はい、​そのとおりです。​もう​一つの​脅威と​して、​古典的な​フィッシング攻撃が​あります。​ほとんどの​ユーザーが、​犯罪者が​アカウント パスワードを​入手しようとして​送信した​メールを​受信しています。​私たちは​当然、​そのような​攻撃を​阻止できるように​対策を​講じています。​Gmail の​受信トレイに​届いた​メールが​疑わしいと​ Google が​判断した​場合、​ユーザーに​注意を​喚起する​ために​警告マークを​表示したり、​メールを​自動的に​除外したりできます。​Chrome ブラウザでも、​Google が​フィッシング サイトと​見なしている​サイトに​アクセスしようと​すると、​警告が​表示されるようになっています。

Micklitz: フィッシングには​ 2 つの​基本的な​タイプが​あります。​メールの​大量送信は、​攻撃者が​可能な​限り​多くの​ログインデータを​収集する​ために​使用します。​一方、​「スピア フィッシング」と​呼ばれる​攻撃は、​特定の​個人の​アカウントを​標的と​して​行われます。​こうした​攻撃は、​数か​月かけて​非常に​巧妙に​行われる​場合が​あります。​その間、​攻撃者は​標的と​する​個人の​生活を​詳しく​調査したうえで、​その​個人に​的を​絞った​攻撃を​仕掛けます。

「Gmail の​受信トレイに​届いた​メールが​疑わしいと​ Google が​判断した​場合、​警告マークを​表示する​ことができます。」

Tadek Pietraszek

ユーザーが​そのような​攻撃の​被害に​遭わないように、​Google は​どのような​対策を​講じていますか？

Pietraszek: ​その​一例が、 2 段階認証システムです。​多くの​ユーザーは、​オンライン銀行口座の​利用時に​このような​システムを​使っています。​たとえば​送金時には、​パスワードと、​テキストで​送信された​コードの​両方を​入力する​必要が​あります。​Google は​他の​大手メール プロバイダに​先駆けて、​2009 年に​ 2 要素認証を​導入しました。​さらに、​携帯電話番号を​登録している​ Google ユーザーの​場合、​不審な​ログイン試行に​対しても​同じ​レベルの​保護が​自動的に​適用されます。

Micklitz: 2 要素認証は​優れた​方​法ですが、​テキスト メッセージで​送信される​コードさえも​傍受される​可能性が​あります。​たとえば、​犯罪者が​携帯通信会社に​連絡して、​2 枚目の​ SIM カードを​送付して​もら​おうと​するかもしれません。​Bluetooth トランスミッターや​ USB メモリなどの​物理的な​セキュリティ トークンを​使用した​方が​安全です。

Pietraszek: Google では、​こうした​リソースを​ 高度な​保護機能プログラムに​取り入れています。

高度な​保護機能プログラムとは​何ですか？

Pietraszek: これは​ Google が​ 2017 年に​導入した​プログラムで、​ジャーナリスト、​CEO、​政治的反体制派、​政治家など、​ハッキングされる​リスクの​高い​人々を​対象と​しています。

Micklitz: 物理的な​セキュリティ キーに​加えて、​ユーザーが​キーを​紛失した​場合に​本人確認が​必須と​なる​追加の​ステップを​組み込むことで、​サードパーティ製アプリからの​データアクセスも​制限します。

エンジニアリング担当ディレクター Stephan Micklitz は、​Google の​グローバル プライバシーと​セキュリティを​担当しています。​ミュンヘン工科大学で​コンピュータ サイエンスを​学び、​2007 年後​半から​ Google の​ミュンヘン オフィスで​働いています。

過去に​あった​大規模な​サイバー攻撃の​例と、​それに​どのように​対処したかを​教えてください。

Pietraszek: た​とえば、​2017 年の​前半に​発生した​攻撃が​あります。​ハッカーは​悪意の​ある​プログラムを​作成し、​それに​よって​攻撃対象ユーザーの​ Google アカウントに​アクセスして、​その​ユーザーの​連絡先に​偽の​メールを​送信しようとしたのです。​メールの​内容は、​偽の​ Google ドキュメントへの​アクセス権を​付与するよう受信者に​求める​ものでした。​その​要求に​従った​受信者は、​意図せずに​マルウェアに​アクセス権を​付与し、​それに​よって​その​受信者の​連絡先にも​自動的に​同じ​偽メールが​送信された​ため、​ウイルスが​急速に​広がりました。​Google では、​こうした​状況に​対処する​ための​緊急時対応計画を​用意しています。

Micklitz: この​ケースでは、​Gmail での​偽メールの​配信を​ブロックし、​問題の​プログラムに​付与された​アクセス権を​取り消す​ことで、​アカウントを​保護しました。​また、​今後​同様の​攻撃を​受けにくくする​ために、​体系的な​安全措置を​追加しました。​Google アカウントは​常に​攻撃に​さらされている​ため、​自動システムを​使用する​ことで​最も​効果的な​保護を​提供できます。​ただし、​その​ためには​ Google アカウント以外の​手段​（予備の​メールアドレスや​携帯電話番号）で​ユーザーと​連絡を​取れる​必要が​あります。

「実際には、​いく​つかの​基本的な​ルールを​守るだけで​十分な​場合が​ほとんどです。」

Stephan Micklitz

一般ユーザーに​とって​セキュリティは​どの​くらい​重要ですか？

Pietraszek: ​多くの​ユーザーが​セキュリティの​重要性を​十分に​認識していますが、​必要な​セキュリティ対策を​行うのは​面倒だと​感じている​ことも​事実です。​こうした​理由から、​複数の​アカウントに​同じ​パスワードを​使用すると​いう、​最も​避ける​べき​過ちを​多くの​ユーザーが​犯しています。​最小限の​労力で​アカウントを​保護できる方​法を​ユーザーに​提示する​ことは、​Google の​責務です。​その​ため、​Google アカウントには、​ユーザーが​簡単に​設定を​確認できる セキュリティ診断 機能が​用意されています。

Micklitz: 実際には、​基本的な​ルールを​いく​つか​守るだけで​十分です。

具体的には​どのような​ルールですか？

Micklitz: 複数の​サービスで​同じ​パスワードを​使用せず、​セキュリティ アップデートを​インストールして、​不審な​ソフトウェアの​使用を​避けてください。​電話番号か​予備の​メールアドレスを​提供して、​他の​手段で​連絡が​取れるように​する​ことも​必要です。​また、​スマートフォンの​画面ロックを​有効に​して、​権限の​ない​個人が​簡単に​アクセスできないように​してください。​こうした​対策を​するだけでも、​セキュリティは​かなり​向上します。

.

写真: Conny Mirbach