ユーザーデータを安全に保つための Google の取り組み

ハッキング、フィッシング、マルウェアなど、サイバー犯罪者はさまざまな手口でユーザーのアカウントを乗っ取ろうとします。Google の Stephan Micklitz と Tadek Pietraszek はそうした犯罪を防ぐための取り組みを担当しています。

Tadek Pietraszek

2006 年より Google のチューリッヒオフィス勤務。現在は大規模なエキスパートチームを率る。同年、アルベルトルートヴィヒ大学フライブルクでコンピュータサイエンスの博士号を取得。

Pietraszek さんのチームはユーザーアカウントの保護に取り組んでいますが、どのようにしてハッカーによる不正アクセスを阻止していますか？

ユーザーアカウントセキュリティのプリンシパルソフトウェアエンジニアを務めるTadek Pietraszek: 第一に、最初の攻撃を検出できることが重要です。私たちは不審なアクティビティを特定するために、100 を超える変数を使用しています。たとえば、ドイツに住んでいてほとんど海外旅行をしないユーザーがいたとして、何者かがドイツ以外の国からそのアカウントにアクセスしようとした場合、そのユーザーに対して警告を行います。

Google のプライバシー＆セキュリティチームのエンジニアリング部門ディレクター、Stephan Micklitz: Google がときどき登録電話番号や、アカウント所有者しか知り得ないその他の情報の確認を行うのはそのためです。

Tadek Pietraszek（左）にとって、フィッシングはオンラインセキュリティにおける最大の脅威の一つ。

そのような攻撃の発生頻度は？

Pietraszek: 毎日数十万件のサイバー攻撃が仕掛けられています。最大の問題は、ハッキングされたウェブサイトから盗まれたユーザー名とパスワードのリストが、インターネット上に無数に公開されていることです。多くのユーザーが異なるアカウントに同じパスワードを使用しているため、そうしたリストには Google アカウントのログインデータも含まれています。

そのリストの存在が、最大のセキュリティ脅威であると？

Pietraszek: そのとおりです。もう一つの脅威として、古典的なフィッシング攻撃があります。ほとんどのユーザーが、犯罪者がアカウントパスワードを入手しようとして送信したメールを受信しています。私たちは当然、そのような攻撃を阻止できるように対策を講じています。Gmail の受信トレイに届いたメールが疑わしいと Google が判断した場合、ユーザーに注意を喚起するために警告マークを表示したり、メールを自動的に除外したりできます。Chrome ブラウザでも、Google がフィッシングサイトと見なしているサイトにアクセスしようとすると、警告が表示されるようになっています。

Micklitz: フィッシングには 2 つの基本的なタイプがあります。メールの大量送信は、攻撃者が可能な限り多くのログインデータを収集するために使用します。一方、「スピアフィッシング」と呼ばれる攻撃は、特定の個人のアカウントを標的として行われます。こうした攻撃は、数か月かけて非常に巧妙に行われる場合があります。その間、攻撃者は標的とする個人の生活を詳しく調査したうえで、その個人に的を絞った攻撃を仕掛けます。

「Gmail の受信トレイに届いたメールが疑わしいと Google が判断した場合、警告マークを表示します。」

Tadek Pietraszek

ユーザーがそのような攻撃の被害に遭わないように、Google はどのような対策を講じていますか？

Pietraszek: 一例として、2 段階認証プロセスシステムがあります。多くのユーザーは、オンライン銀行口座の利用時にこのようなシステムを使っています。たとえば送金時には、パスワードと、テキストで送信されたコードの両方を入力する必要があります。Google は他の大手メールプロバイダに先駆けて、2009 年に 2 段階認証を導入しました。さらに、携帯電話番号を登録している Google ユーザーの場合、不審なログイン試行に対しても同じレベルの保護が自動的に適用されます。

Micklitz: 2 段階認証は優れた方法ですが、テキストメッセージで送信されるコードさえも傍受される可能性があります。たとえば、犯罪者が携帯通信会社に連絡して、2 枚目の SIM カードを送付してもらおうとするかもしれません。Bluetooth トランスミッターや USB メモリなどの物理的なセキュリティトークンを使用した方が安全です。

Pietraszek: Google では、こうしたリソースを高度な保護機能プログラムに取り入れています。

高度な保護機能プログラムとは何ですか？

Pietraszek: これは Google が 2017 年に導入したプログラムで、ジャーナリスト、CEO、政治的反体制派、政治家など、ハッキングされるリスクの高い人々を対象としています。

Micklitz: 物理的なセキュリティキーに加えて、ユーザーがキーを紛失した場合に本人確認が必須となる追加のステップを組み込むことで、サードパーティ製アプリからのデータアクセスも制限します。

エンジニアリング部門ディレクター、 Stephan Micklitz。Google でグローバルプライバシーおよびセキュリティを担当する。ミュンヘン工科大学でコンピュータサイエンスを学んだあと、2007 年より Google のミュンヘンオフィス勤務。

過去にあった大規模なサイバー攻撃の例と、それにどのように対処したかを教えてください。

Pietraszek: たとえば、2017 年の前半に発生した攻撃があります。ハッカーは悪意のあるプログラムを作成し、それによって攻撃対象ユーザーの Google アカウントにアクセスして、そのユーザーの連絡先に偽のメールを送信しようとしたのです。メールの内容は、偽の Google ドキュメントへのアクセス権を付与するよう受信者に求めるものでした。その要求に従った受信者は、不本意にもにマルウェアにアクセス権を付与してしまい、それによってその受信者の連絡先にも自動的に同じ偽メールが送信されたため、ウイルスが急速に広がりました。Google では、こうした状況に対処するための緊急時対応計画を用意しています。

Micklitz: このケースでは、Gmail での偽メールの配信をブロックし、問題のプログラムに付与されたアクセス権を取り消すことで、アカウントを保護しました。また、今後同様の攻撃を受けにくくするために、体系的な安全措置を追加しました。Google アカウントは常に攻撃にさらされているため、自動システムを使用することで最も効果的な保護を提供できます。ただし、そのためには Google アカウント以外の手段（予備のメールアドレスや携帯電話番号）でユーザーと連絡を取れる必要があります。

「実際には、基本的なルールをいくつか守るだけで十分です。」

Stephan Micklitz

一般のユーザーにとってセキュリティの重要性とは？

Pietraszek: 多くのユーザーがセキュリティの重要性を十分に認識していますが、必要なセキュリティ対策を行うのは面倒だと感じていることも事実です。こうした理由から、複数のアカウントに同じパスワードを使用するという、最も避けるべき過ちを多くのユーザーが犯しています。最小限の労力でアカウントを保護できる方法をユーザーに提示することは Google の責務です。そのため、Google アカウントには、ユーザーが簡単に設定を確認できるセキュリティ診断機能が用意されています。

Micklitz: 実際には、基本的なルールをいくつか守るだけで十分です。

具体的にはどのようなルールですか？

Micklitz: 複数のサービスで同じパスワードを使用せず、セキュリティアップデートをインストールして、不審なソフトウェアの使用を避けてください。電話番号か予備のメールアドレスを提供して、他の手段で連絡が取れるようにすることも必要です。また、スマートフォンの画面ロックを有効にして、権限のない個人が簡単にアクセスできないようにしてください。こうした対策をするだけでも、セキュリティはかなり向上します。

写真: Conny Mirbach

トップへ戻る