Gmail への不正アクセスが相次ぐ 47
ストーリー by reo
とりあえず二段階認証 部門より
とりあえず二段階認証 部門より
ある Anonymous Coward 曰く、
ITpro の記事によると、Gmail に対する不正アクセスが増えている模様。不正にアカウントにアクセスされ、スパムメールの送信などに使われる例が多いようだ。
不正アクセスの経路については分かっていないため、Gmail 利用者は注意が必要だ。ほかのサービスとパスワードを共用しない、といった初歩的なことに加え、アカウントアクティビティのチェックといった対策をしたいところである。
意外に (スコア:5, 興味深い)
パスワードやアカウントが漏れたんじゃなくて、アレなアプリにGoogleアカウントとの連携を許可しちゃってるせいで利用されてたりして。
Re:意外に (スコア:3)
はい、自分とその周りはその可能性が高いとみています。
これだけ大規模にパスワードクラックされるという点で力技による認証突破はないだろうと。可能性としては連携先、特にAndroid端末のアプリではないかと考えいます。これだけ被害が広まっているところをみると、有名どころのサービス・アプリがやられたのかも、と結構きになります。
Re:意外に (スコア:1)
もしそこがやられたなら、
アカウントハックはほぼ100%成功しているはずです。
なにせ本物のアカウントIDとパスワードが得られているはずですから。
しかし実際には「ログイン失敗が記録されてる」が多く見られます。
それを考えると、
Googleアカウントとそのパスワードが直に漏れるような経路ではないと言えるでしょう。
では、というと
メアドを登録する他サイトが情報を漏らし、
悪意あるものはそのサイトに登録されていたGmailアドレスと
そのサイトのパスワードで
Googleアカウントにもログインできないかと試行しているだけでしょう。
Re: (スコア:0)
しかし実際には「ログイン失敗が記録されてる」が多く見られます。
Googleのアカウントアクティビティではログイン失敗の履歴は表示されないのですけど、一体どこで確認できるのでしょうか?
Re:意外に (スコア:1)
>Googleのアカウントアクティビティではログイン失敗の履歴は表示されないのですけど、一体どこで確認できるのでしょうか?
すみません、当方
Gmailのシステムにより、不正なアクセスと思われるアクセスをブロックしたと表示される、のことを指していましたが
すでにブラックリスト入りしたIPアドレスからのアクセスではパスワード不一致になった場合でも記録されるだろう、
の前提で書いてしまっていました。
実際記録されるかどうかは未確認ですがとりあえず上記は無視してください。
上記と合わせて調べたところ、被害にあったと主張される人の書き込みで
「1か月ほど前、PCからGmailにログインしようとしたら、もう1回ログインダイアログが出てきて、そこでもう1回ユーザIDとパスワードを入力した」
のような書き込みがありました。
別件として先日発生していた
「金融機関サイトにログインしようとすると、
ローカルPCに感染しているウイルスによりブラウザポップアップが表示され、
そこで銀行のユーザIDとパスワードの入力が要求されるが、悪意あるものなので入力してはいけない」
というPC向けのセキュリティ問題のときの対象に
金融機関以外のGmailやらなんやらメジャーなWebサービスいろいろが含まれていたのか、
もしくはその亜種が出回っているのかなぁ、という印象を持ちましたが
こちらも今のところ未確認です。
もし上記だとしたら、これからいろんなWebサービスでボロボロ出てくるかもしれませんね。
Re: (スコア:0)
認証変更を機に、一旦アカウント連携の棚卸しもしておいた方がいいですな。
どうせ認証し直しになるんだし。
# 一旦アプリ連携全部消して、改めて認証し直すのがよいかと。
# とはいえ、変なアプリを再度認証してしまうと元の木阿弥ですが。
パスワードの共用 (スコア:2)
>ほかのサービスとパスワードを共用しない、といった初歩的なことに加え、
これをきっちりやってる人も不正アクセスされたのかどうか気になる。
不正アクセスされた人のまとめとか見てもこのへん言及してる人見なかったんだよね。
個人的には、Webサービスのパスワードはパスワード自体の強固さよりも
サービス間での共用をしないことのほうが重要だと考えてます。
Re: (スコア:0)
twitterで、個別のパスワードを使っているのにアカウントハックされた、
というつぶやきを見ました。
フィッシングサイトにアクセスしてしまい、気付かないまま
ログインを試行してしまったのでは、と推察されていました。
Re: (スコア:0)
『パスワードを手で入力していいのは初回だけだよねー』
Re: (スコア:0)
前提条件に、キーロガーが仕込まれていないというのも追加でおなしゃーす
キャリアメールなんて契約してねぇよ! (スコア:1)
……という、タイトルのような叫びがちらほらとw
まぁ、一応電話認証が出来るので全く使えないわけではないですが。
あと、Android か iOS の機器を持っている方なら、認証用アプリ(Google認証システム(android)、Google Authenticator(iOS))を
使えるようにすると、以降のパスコード生成が多少楽になります。
# とはいえ、このアプリ自体を認証するためにまず通常の2段階認証設定か、認証済みPCを設定する必要がありますが。
Re: (スコア:0)
「携帯電話なんて持ってねぇよ!」
というオレでも使えてるんです。なにか問題でも?
ソース元記事もタレコミも意味分からん (スコア:1)
ソース元記事は元記事で
「Gmailからの迷惑メールが増えてるようだ」だけだし
タレコミはタレコミで
「増加中」と決めつけてるし
意味分かりません。
この季節にテレビで腐るほどたれ流されてる
健康不安病気事故怖い怖い怖い番組と何も変わらないですよね。
こんなのたれ流す理由はどこにあるんでしょうか?
Re:ソース元記事もタレコミも意味分からん (スコア:1)
特に今、急に何かが起こってるわけじゃなく、2段階認証のプロモーションとかなのかな。
Re: (スコア:0)
こんなに不安を煽るようなプロモーションなんてありえなすぎ。
おおかた、日経が「Gmailが危ないことにする」目的でGoogleにテキトーに問い合わせ、
Googleからは二段階認証を進められたから
それを無理矢理論拠にして好き放題書き散らかしてるだけでしょう。
さすがにソースが日経だとね。
はいはいドコモのiPhoneドコモのiPhoneって感じ。
Re: (スコア:0)
ソース記事の流れを見てみたら
「ネットにアカウントハッキングされたという人がいる」
だけを元に日経が流してる記事が元みたい。
ってことはまた株価操作目的のデマか。
Re: (スコア:0)
※記事冒頭の「12月24日以降~」のくだり以外は全て事前原稿のセンも
2~3年前ですがやられました (スコア:1)
ハックされたようなので、アカウント停止している。
再開したければ電話認証しろ(意訳)のようなことがかかれた画面がでてた記憶があります。
やられるときはさっくりやれるんだなぁと感心したものです。
とりあえず2段階認証、なのは分かるけど… (スコア:0)
2段階認証すれば完全にソーシャルハックと物理的盗難がなければほぼ問題ない事はわかるわけですけれど
2段階認証だと
・対応してないアプリとかどうすんの?
・ケータイ/スマフォ壊れたらおしまいじゃん
と言う事があってどうも踏み切れません。
とりあえず今は複雑なパスワードにすることで対応していますけれど、みなさんこのあたりどう折り合いつけているんでしょうか?
Re:とりあえず2段階認証、なのは分かるけど… (スコア:2)
・ケータイ/スマフォ壊れたらおしまいじゃん
それには、事前にバックアップ コード [google.com]を印刷しておくなりして、という事にはなるんだけど、そこまで意識せずに設定しちゃう人は多いだろうなぁ。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:1)
バックアップコードをどうやって保管しようかなぁ……
そうだ! Gmailのアカウントにメールしておけばどこでも見られるぞ!
と、本気で一瞬考えてしまった。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:2, 興味深い)
2段階認証にしたらFirefoxを起動する度に認証コードのメールが届いてうざーっとなりました。
なんだろうこれ?と思って、Googleアカウントにアクセスしそうなアドオンなどを中心にチェックしてみたら
Gmail Managerを切ると大人しくなる所までは判明。
が、対処する術がないのでアドオン削除する事にしました。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:3, 参考になる)
クッキーをクリアすると、その症状が出るそうです。
自分の場合は、それとは別のクッキーをクリアする拡張を入れてたのが原因でした。
どちらを取るか悩んだ末、拡張を削除することにしました。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:1)
意気揚々と二段階認証にして、wanderlust で Gmail が読めなくなって早々に二段階認証を外したアカウントがこちらになります…。
Hiroki (REO) Kashiwazaki
Re: (スコア:0)
アプリケーション固有のパスワードを発行して
それをぶち込んでやればアクセスできますよ。
スマートホンでも、認証アプリがうまく動かない時とかも
これを使えば大丈夫です。
が、セキュアレベルは下がるということですよね。
アプリ側で乱数文字列を確認できれば流用できるということでしょうから。
もちろんWEBから無効にすることはできますが。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:2)
wanderlust ではいつも Gmail フォルダにアクセスするときパスワードを手入力していて、これを変更してアプリケーション固有のパスワードを使うのは面倒だなあとか思いつつ、この際だから elmo-passwd-alist-save でパスワードを保存しちゃおうか、という気持ちになりました。
しかしながら今度は SMTP auth のところで、これまでであればパスワードの対話が始まるはずのところで、唐突に
となってお手上げですよ。というわけで二段階認証を外しました (本日二度目) 。
Hiroki (REO) Kashiwazaki
Re:とりあえず2段階認証、なのは分かるけど… (スコア:3, 参考になる)
二つ目のアプリケーション固有パスワードを作ったら、あっさり通りましたわ…。
Hiroki (REO) Kashiwazaki
Re:とりあえず2段階認証、なのは分かるけど… (スコア:1)
アプリケーション固有のパスワードの取得の画面で
「このパスワードを記憶しておく必要はありません。」
と有りますが、逆に言うと、「1度しか使えない」
パスワードなのでは無いでしょうか?
Googleの説明のどこにもそうは書いてありませんが、
2度以上使えるなら、「記憶しておくべき」とか言う
はずです。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:1)
>・ケータイ/スマフォ壊れたらおしまいじゃん
既に認証されたPCがあれば、そっちから二段階認証をOFFにしたりはできるんじゃないの?
バックアップ用の電話番号も設定で着るみたいだね。
メインとサブのPCとバックアップの電話番号を用意しておけば、複数のPCとケータイ/スマフォが同時に
壊れるという可能性はかなり低いのでは。
しかし、
>そこまで意識せずに設定しちゃう人は多いだろうなぁ。
という意見に同意。
実際にHDDがクラッシュするまでデータのバックアップを取らない人は、意外に多いということだな。自分も含めて。orz
Re: (スコア:0)
・ケータイ/スマフォは持ってないのでそもそも無理じゃん
Re:とりあえず2段階認証、なのは分かるけど… (スコア:2)
固定電話でもいけるのでは?
Re:とりあえず2段階認証、なのは分かるけど… (スコア:1)
Googleさんに固定電話番号お知らせするのがどうも・・・・
使い捨ての電話番号とかありませんかね。
10分間だけ、指定した電話番号に転送してくれるサービスとか。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:1)
自分的な重要度は、
E-mailアドレス>>電話番号
なので、E-mailアドレスを知られてる時点で、電話番号なんてどうでも良いと思ってたり。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:1)
そんなあなたに050あんしんナンバー [ntt.com]
Re: (スコア:0)
使い捨てじゃないけど、fusion ip-phone smartとかどないでしょ
Re: (スコア:0)
音声通知なら固定電話も使えるよ。
(skypeInみたいなのでも使えるかは知らん)
Re: (スコア:0)
> ・対応してないアプリとかどうすんの?
アプリケーション固有のパスワードを発行する方法がある
http://support.google.com/accounts/bin/answer.py?hl=ja&ctx=ch_b%2F... [google.com]
> ・ケータイ/スマフォ壊れたらおしまいじゃん
認証済み端末があれば、普通にメールアドレス変更すればよろしい。壊れて捨てたなら知らん
# 二段階認証はつど認証するのではなく、ハード単位で認証です。
Re: (スコア:0)
この固有のパスワードって英字のみの16桁みたいなんですが
強度的にどうなんだろうと心配になります。
極力増やさないようにするしかないんですかね。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:4, 参考になる)
95n = 26mから、
n = m (log 26 / log 95) = 約0.72m
なので、英字小文字のみの16文字のパスワードの強度は、思いつく限りの文字を均等に使った11~2文字と同じぐらいですね。
小文字のみでそこそこ長いランダムなパスワードというのは意外と強力な割に入力しやすいので、wifiとかの入力回数が少ない場面で多用してます。
ちゃんと検討した事は無かったのですが、m/nは1.4ぐらいなので、小文字のみのパスワードを使う場合は、記号も全部使った場合に「これで安全」と思える長さのおおむね1.5倍ぐらいにしておけばOK、ということになりますね。あくまで、徹底的にランダムな文字列の場合のみの話ですが。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:1)
利用してみましたが、単語でもない意味をなさない乱数だから、
アタックするにしても総当りぐらいしかないだけで。
ベタの確率そのものでしょう。
設定したアプリそのものから読み取られるとか、
平文で流すアプリの途中をパケット盗み見される以外
現実的ではないでしょう。
メインのアカウントを操作するためのパスワードとして使えるならアウトだけど。
Re: (スコア:0)
・対応してないアプリとかどうすんの?
「アプリケーション固有のパスワード」でアプリごとに別々のパスワードが生成できます。
Re: (スコア:0)
従来と同じパスワード認証で認証できるパスワードをランダムに作成できます。対応していないアプリには、それを使って認証させます。
POP3 で使うとメーラなんかに覚えさせちゃうことになると思いますので、そのパスワード文字列は一度画面に表示されたあとは、再度表示させる手段はありません。
パスワードは適当なラベルをつけて複数作成・管理することができ、個別に破棄にできますので、接続クライアントごとに変えて何かあやしいことがあれば、その都度破棄して新しく作るって形になります。
> ・ケータイ/スマフォ壊れたらおしまいじゃん
複数の手段があるので、同時に全部いっちゃわなければ代替手段はなにかあるはずです。
Re: (スコア:0)
総当たりでやってるとは思えないので
パスワードを必要以上に複雑にしても対策にはならないでしょうね
Re: (スコア:0)
複数持っていればサブの認証先が作れるのと、
(すでに指摘があるとおり)最終手段としての印刷用パスコードで担保、という形でしょうねぇ。
故障して取り替えたら、認証済PC等からの認証方法変更で対処、かと。
# 音声でのワンタイムパスワード通知は、いざとなれば携帯電話以外の電話機が指定できるというのも。
# まぁ、とはいえ、携帯電話以外持ってませんって人は多そうだが。。。
Re: (スコア:0)
とりあえず手順を一通り読めばいずれも対応方法は書いてあります。
Re: (スコア:0)
個人に対する攻撃でなければ総当り攻撃的な手法は採られないと思われるので、
パスワードそのものに関しては辞書攻撃に強いパスワードにするくらいしか対策法はないのかなぁと。
ただ、今回はパスワードの強度に関係ない攻撃の可能性がありそうなので、そこは自分が気を付ける以外になさそうです。
よし (スコア:0)
LiveMailに移行するわノシ