Googleアカウント2段階認証突破50%乗っ取り減Pass-the-Cookie

Googleアカウント不正アクセスからYouTube乗っ取りハッキングを減らす対策50%被害減「2段階認証」は必須だけど、Windowsパソコンのマルウェア感染でCookie盗難により2段階認証を突破される恐れあり。

自分の Google アカウントが第三者に不正アクセスされたらどうなる…?

目に見えてトンでもない事態が発生したことに気づけるシチュエーションの 1 つが、自分の YouTube チャンネルが乗っ取られて危険な動画 を投稿される被害でしょう。


セキュリティ診断で乗っ取り対策の確認を

YouTube チャンネル乗っ取り確認方法 Google アカウント セキュリティ診断
Google アカウント乗っ取り対策
https://myaccount.google.com/intro/security-checkup?hl=ja

Google 乗っ取り被害を減少させた 2 段階認証の対策

不正アクセスの被害を少しでも減らそうと Google が取り組んでいるセキュリティ対策が 2 段階認証 です。

Google アカウントを持つユーザーさんに勧めていた 2 段階認証 の効果はどれほどあったのでしょうか?

Making you safer with 2SV - Google Safety & Security
https://blog.google/technology/safety-security/reducing-account-hijacking/

今日のサイバー犯罪者は、インターネット上で誰をターゲットにするか区別しません。政治家や著名人から一般市民まで、誰もが個人情報を盗まれる危険にさらされています。

そのため、Google はセキュリティを製品戦略の基本としています。Google は、セキュリティホールを解消するだけではなく、Google のサービスに依存する人たちのために、あらゆる脅威を排除するよう取り組んでいます。

Google Pay でコーヒー代を支払う、たくさんの生徒が参加するオンライン授業で指導する、今日だけでも世界中の何十億人もの人々が Google の製品を使って大小様々なことを行っており、ユーザーの個人情報を安全に保護することは Google の責任です。

Gmail は銀行、ソーシャル メディア、ショッピングなど、Google 以外のアカウントにアクセスする鍵になっていることを私たちは知っています。そのため、Gmail のセキュリティは、オンラインでのお客様の安全を守る活動の基本です。

すべての製品を最初から安全にすることで、マルウェア、フィッシング詐欺、スパムメール、サイバー攻撃をブロックして、世界中の誰よりも多くのユーザーの安全を守っています。

昨年は 2 段階認証 (2SV、2-Step Verification) の自動登録を開始して、パスワードの脅威をなくす取り組みを加速させました。これは、サイバー犯罪者がアカウントに侵入を試みる際、パスワード以外の第 2 の認証方法を要求することで、ユーザーにさらなる保護を提供します。

昨年の取り組み以来、1 億 5,000 万人以上のユーザーが 2 段階認証を自動的に有効にすることに成功し、200 万人以上の YouTube クリエイターにも 2 段階認証を義務付けました。この取り組みの結果、これらのユーザーで アカウントの侵害が 50% 減少 しました。

この減少は、第 2 の認証方法を持つことがデータや個人情報の保護にいかに有効かを物語っています。私たちはこの最初の結果を誇りに思い、ユーザーやコミュニティから寄せられた反応に満足していますが、ユーザーの安全性をさらに高めるため、舞台裏で行っている他の継続的な取り組みに期待します。

(~中略~)

今日も安全を守る

最終的に、すべてのユーザーが各端末とアカウントで最高のセキュリティ保護を標準で受けられるようにしたいと考えています。私たちは、進化するさまざまな脅威からユーザーを自動的に保護しますが、さらに安全性を高めるため、いくつかのちょっとした作業をユーザーに推奨します。

● Google アカウントのセキュリティを即座に強化する個別かつ実用的な推奨事項を提供し、順を追って手早く解説する セキュリティ診断 を利用してください
電話番号や予備のEメールをアカウントに追加するだけで、あなたの アカウントを 復元 する準備 ができます。これで、パスワードを忘れた時に本人確認ができるだけではなく、悪人があなたのアカウントにアクセスすることを困難にさせます。

2 段階認証を有効にしておく と、万が一にパスワードが流出した場合に大きな違いが生まれます。
私たちの言葉を信じるだけではなく、民間企業や公的機関の多くが 2 段階認証の支持を表明しています。米国ではバイデン政権が多要素認証 (MFA、Multi-Factor Authentication) に強い姿勢で臨み、データ保護のため政府機関に多要素認証の導入を義務付ける大統領令に署名しています。世界中の政府が同じアプローチをとっていることを私たちは目にしています。

2 段階認証 を設定しておいたユーザーさんは、Google アカウントに不正アクセスされて乗っ取られる被害が 50% 減ったそうです。

マルウェア感染 Cookie 盗難で 2 段階認証の突破

ところが、Windows パソコンがマルウェア 「RedLine Stealer」 に感染 してしまうと悲劇が…!

【Google アカウントにログインする流れ】
ユーザー名 (メールアドレス) とパスワードを入力する
 ↓
電話番号宛ての SMS で暗証番号が送信される 〔2 段階認証〕
 ↓
本人確認が無事に済んで Google アカウントにアクセスできる
(使用しているブラウザの認証 Cookie が保存される)

Windows パソコンに感染したマルウェアが、Google アカウントにログイン済みのブラウザから Cookie を盗むことで、あえなく Google の 2段階認証を突破されて不正アクセスされてしまうことが起こっています。

  • Google Chrome

  • Microsoft Edge

  • Mozilla Firefox

多要素認証を突破されうる不正アクセスの攻撃方法として、次のような名称で警告されています。

【Cookie 盗難で不正アクセス被害】
「Pass-the-Cookie」 (パス・ザ・クッキー)
「Cookie Theft」 (クッキー・セフト)
「Session Hijacking」 (セッション・ハイジャック)

セキュリティ対策はいくつかあるものの、現実的に 【1】 【2】 の運用は難しく、【3】 を徹底するしかありません。


【1】 ブラウザに Cookie を保存しないよう設定を変更する

  • Cookie 盗難被害を低減する有効なセキュリティ対策

  • Google のウェブサービスがほぼ利用不能に陥るので、Google に依存している多くのユーザーが困る


【2】 とにかく Google アカウントをログイアウトするよう徹底する

  • Cookie 盗難被害を低減する有効なセキュリティ対策

  • Google アカウントからログアウトして再ログインするするたびに認証作業を行う必要性あり

  • めんどくさいので何もせずにログインしたまま放置しているユーザーが圧倒的に多い現実


【3】 Windows パソコンでマルウェアに感染しないよう対策を行う

  • 落とし所として Cookie 盗難被害を低減する有効なセキュリティ対策

  • 先手を行くサイバー犯罪者の活発な攻撃活動に弄ばれる
    マルウェアを検出するセキュリティソフトの対応が後手に回っている現実