仕事も家庭も子育ても!人生まるごと楽しみたいワーキングマザーの共有共感共育コミュニティ

Googleアカウントの乗っ取りを防ぐ方法【2段階認証プロセスの設定】

2012年12月26日(水) IT・デジタル  By sakamoto aiko Read More »

 

運営人アイコです。

25日のクリスマス、直前が3連休だったこともあって、
既にサンタがやってきたお宅は多かったんじゃないですか?
我が家にも一足早くやってきて、既にクリスマスモードからお正月モードに切り替わるそんなタイミングに、

Googleアカウントが乗っ取られました。

「URLだけを書いたメールを送った?」と、友人からのメールを見て事態が発覚しました。

乗っ取られたことで、Gmailを利用して接点を持たせて頂いていた方に、
スパムメールが送信されてしまったのです。

1日以上たった今、この事態による二次被害の連絡は頂いていませんが、
多くの方にスパムが送信されたことは事実で、
今後、皆さんが被害を受けないよう対応すべきと、「Googleアカウントの乗っ取りを防ぐ方法」をまとめます。

1. パスワードに頼るのはやめよう

GmailはメールアドレスそのものがログインIDであることが多いです。
つまり、パスワードさえわかってしまえば、誰でもアクセスすることが出来てしまいます。

・パスワードは使い回さない
・見破られるフレーズを使わない(名前や生年月日など想定されやすいもの)
・文字や数字を組み合わせる
・定期的に変更する

上記の対応を行っている方は多いと思います。
Googleアカウントを使って、その他WEBサービスと連携することが増え、
よりGoogleの重要性が高まっていると同時に、よりハッキングに気をつけなければいけなくもなっていました。

実際私も、上記意識して設定していました。
でも、乗っ取られました。

最近は、パスワードを解読するツールも多く出ていて、
ターゲットにされると破られるリスクはかなり高いと実感しました。
同様の事態になった方も、この数ヶ月増えているようです。

乗っ取られたアカウントはもう使えません。
一度乗っ取られたものを使い続けることで、
再び皆さんを巻き込む可能性があるためです。

もちろん、私の個人情報も流出したものとして考えなくてはいけません。
乗っ取られたアカウントの廃止だけでなく、
WEB以外の情報の変更も必要となりました。

Googleアカウントの必要が増しているからこそ、
同様の事態をおこさないよう、皆さんには「2段階認証プロセス」の設定を是非行って頂きたいです。

私は、この設定を行っていませんでした。

2. Google 2段階認証プロセスとは?

Googleへは、パスワード一つあればログイン出来ます。
これは、スマートフォンやモバイル端末を使って、
自宅外からでもネットにアクセスする方にとって、とても便利ですよね。

でも、今回の事態を防ぐ為には、パスワード以外の砦を用意しておく必要があり、
乗っ取りのリスクを大きく下げてくれるのが、「Googleの2段階認証プロセス」です。

これは、Googleへログインするために、パスワードと携帯電話を使用する方法です。
ハッカーが、ネット上で、パスワードを破ったとしても、あなたの携帯をハッカーが入手する事は困難ですよね。
私も今回、アメリカからハッキングされていました。
2段階認証プロセスを設定していれば防げていたかもしれません。

「Googleの2段階認証プロセス」を設定すると、
普段使わないPCなどからアクセスがあったとき、あなたの携帯に認証コード(メール or 音声)が送られてきます。
このコードを入力しないとGoogleアカウントにログイン出来ません。

パスワードと携帯電話。

この二つがそろわないと、ログイン出来ない仕組みが「Googleの2段階認証プロセス設定」です。

※FacebookやDropboxなど、その他サービスでも2段階認証の仕組みが導入されています。

下記に、設定方法を記載していきます。
2段階認証プロセスの設定は長くみても30分ほどで対応できます。
毎回、認証コードを求められるわけではなく、一度信頼おけるデジタル端末だとわかれば、
以後はパスワードのみでログイン出来るので、今と変わらない方法で利用できます。

3. Google 2段階認証プロセスを設定する

①2段階認証プロセス設定するgoogleアカウントにログインし、下記URLへアクセスします。

https://www.google.com/settings/security

②Googleアカウント画面が表示されたら、左メニューから「セキュリティ」を選択します。

③Googleセキュリティ画面が表示されたら、2段階認証プロセスの「編集」ボタンをクリックします。

Googleアカウント画面

Googleアカウント画面

 

④「設定を開始」ボタンをクリックします。

2段階認証プロセス画面トップ

2段階認証プロセス画面トップ

 

⑤携帯電話のメールアドレスを設定し、コードの受け取り方法「テキストメッセージ」を選択します。
※音声で認証コードを受け取りたい場合は、コードの受け取り方法で「音声通話」を選択して下さい。
そうすると、携帯電話のメールアドレス欄に電話番号を入力出来るようになります。

【2012年12月27日追記】
携帯電話のメールアドレス受信設定にドメイン制限を設けていると受け取れ無い事があります。
ドメイン制限をされている方、メール送信で試したけどメールが届かない方は、
音声通話による認証コードの取得を行って下さい!

携帯端末設定画面

携帯端末設定画面

 

⑥携帯電話に、認証コードが送られてきます(⑤の設定を行い数分以内です)
このコードを、確認コード欄に入力し、「次へ」ボタンをクリックします。

携帯端末確認及び認証コード入力画面

携帯端末確認及び認証コード入力画面

 

⑦今後もそのパソコンからGoogleへアクセスする場合(自宅PCなど)は、「このパソコンを信頼出来るパソコンとして登録する」にチェックを入れ、「次へ」ボタンをクリックします。
※このチェックは、毎回認証コードを入れずにログイン出来る用にするためのものです。

信頼出来るパソコンの登録画面

信頼出来るパソコンの登録画面

 

⑧「確認」ボタンをクリックして、2段階認証プロセスを有効にします

2段階認証プロセス確定画面

2段階認証プロセス確定画面

 

2段階認証プロセス設定はこれで完了ですが、
携帯電話との併用をする事で、
携帯電話が盗まれたり、無くしたり、壊れてしまった場合、アクセス出来なくなる可能性が出てきます。
万が一の時の為、アカウントにアクセス出来る方法を下記にて用意しておきましょう。

⑨2段階認証プロセスが有効になると、下記画面が表示されます。
ここで表示されているポップアップは、Googleパスワードではログイン出来ないサービスやアプリと使っている場合、
それぞれ個別にパスワードを作成し、設定するためのポップアップです。
メールクライアントやチャットソフトなどが対象となるようですので、個別にサービスやアプリを起動させる際にそれぞれ設定されることをお勧めします。

固有パスワード設定ポップアップ

固有パスワード設定ポップアップ

 

⑩認証コードを受け取る方法として、携帯のメールアドレスが設定されました(いつでも変更可能です)
メールが取れないときの代替方法として、電話番号、モバイルアプリからの受け取り、バックアップコードの取得をしておきましょう。

認証コード受け取り代替方法

認証コード受け取り代替方法

 

それぞれリンクをクリックすると設定が行えます。
下記は、モバイルアプリケーションのiPhoneリンクをクリックしたときの画面です。
アプリをインストールして、バーコードをスキャンすると認証コードが受け取れます。

モバイルアプリでコードを受け取る

モバイルアプリでコードを受け取る

 

 

 

 

 

 

 

 

 

 

 

電話番号までGoogleに紐づけて登録するのはなんだか恐いという方は、「バックアップコード」だけでも取得しておきましょう。
紙とデータで持っておくと安心ですが、管理には気を配って下さい。

バックアップコードの取得

バックアップコードの取得

 

 

 

 

 

 

 

 

 

 

⑪アプリケーション固有のパスワードを設定します。

この2段階認証プロセスは、全てのアプリやサイトと連携しているわけではないのが残念ですが。
全て繋がる事の怖さを考えると、代替方法で対応して頂ければと思います。

連携していないアプリやサイトでは、これまで利用出来ていたGoogleアカウントのパスワードではログイン出来なくなります。

その為に必要になるのが、アプリケーション固有のパスワードです。
2段階認証設定後、今まで入れていたアプリに入れなくなったタイミングで設定していって下さい。

上記⑩の認証コード受け取り代替方法画面の下にある「アプリケーション固有のパスワード管理」リンクをクリックします。

追加したいアプリの名前をつけ(任意名でOKです)、「パスワード生成」ボタンをクリックします。
作成されたパスワードを、ログイン出来ないアプリのパスワードエリアに入力しログインすれば、
以後入力を求められることはありません(権限を与えられた状態になります)
ですので、パスワードを控える必要はありません。

このパスワードは、使い回しが聞くので、複数のアプリに登録する事が出来、あまり安全とは言えません。
その為、固有のパスワード生成履歴が残り、無効にする事が出来る用になっていますので、
定期的にパスワードを変更し直す、1アプリには1パスワードを利用するなどしながら、ご利用下さい。

4. それでも安全とは言えないんです

今回の、2段階認証プロセスを設定することで、乗っ取りのリスクを大きく軽減する事ができます。
とは言え、絶対はなく、どのような形でいつ乗っ取られてしまうかはわかりません。

Googleを利用する上で、下記の点にも注意しておきましょう!


記事はじめの情報と重複しますが、再度記載します。
まず、これは必ず意識して対応しておいて下さい。
Googleだけでなく、アプリケーションだけでもなく、
銀行口座のパスワードであっても同じように考えて下さいね。

・パスワードは使い回さない
・見破られるフレーズを使わない(名前や生年月日など想定されやすいもの)
・文字や数字を組み合わせる
・定期的に変更する

gmailを使っている方は、下記にも対応しておきましょう!

・gmail以外のメールアドレスを複数持っておきましょう。

→携帯キャリアアドレス、インターネットサービスプロバイダーのアドレスなど

・複数のアドレスの役割を決めておきましょう。
→プライベートでのやりとり用アドレス、仕事用、各種アプリ登録用 など

・定期的にメールのバックアップを取っておきましょう。
→自宅PCでは、クライアントメールソフトなどで送受信しておけばバックアップできます

 

今回、多くの方にご心配とご迷惑をおかけしました。
何より、自分の大切な方々に悪しき影響を与えてしまったことが何より心苦しかったです。
自分ごとで終わらないのが、乗っ取りの一番辛いところです。。

いつ同じ状況に至るかわかりませんので、自分事として考えるきっかけにして頂ければ幸いです!!

今後も、セキュリティ関連の情報は出して行きたいと思います。

皆さんに乗っ取りを未然に防いで頂くことと、自戒をこめ。

 

アイコ


Comments are closed.