連載
» 2018年07月24日 07時00分 公開

半径300メートルのIT:なんとなく「はい」を押したらアウト! プッシュ通知認証でアカウントを乗っ取られそうになった話 (1/2)

「この条件に同意しますか」「アカウントをリセットしますか」「○○を承認していいですか」――Webサイトやスマホアプリの操作で頻繁に出てくるこうしたメッセージ。面倒くさいからと、内容をよく読まずに「はい」を押していませんか? そんなあなたに、私が実際に体験した「怖い話」をお伝えしましょう。

[宮田健,ITmedia]

 私、いま“標的型攻撃”を受けてるんです――といったら、信じてもらえるでしょうか?

 標的型攻撃とは、簡単にいうと「明確な意思と目的を持った攻撃者が特定の組織や情報を狙って行うサイバー攻撃」のことです。ですから一般的には、重要な機密を扱う国家組織や、世界に名前の知られた大企業、特許をたくさん持つ中堅企業などがそのターゲットになると思われがちですが、実際は皆さんに身近なところでも起きているのです。

ブラジルからの“攻撃”再び?

 この連載をずいぶん前から読んでいただいている皆さんならピンとくるかもしれません。私にその“標的型攻撃”を仕掛けているのは、悪意や攻撃の意図が全くない、「ブラジルのマリオさん」。

(参考)

 「一体どういうことなの?」と思う方に詳しく事情を説明すると、私のGmailアカウント名「mtakeshi」と非常に似たアカウント名「m.takeshi」の持ち主――ここではマリオ・タケシ(仮名)さんとしましょう――が、私のアカウントを自分のアカウントだと信じ込んでしまい、何とかアクセスしようとあれこれ手を尽くしているのです。

 なぜこんなことが起こってしまうのでしょうか。ここには、「IDに含まれるドットは無視する」というGmailの仕様が関係しています。つまり、「johnsmith@gmail.com」と「john.smith@gmail.com」は、同じメールアドレスとして扱われるのです。マリオさんは自分の間違いに全く気付いていないらしく、メールマガジンやさまざまなサービスを私のメールアドレスで登録し続けています。

 今回の事件は、ある日私のスマホに届いたプッシュ通知(Googleプロンプト)から始まりました。画面を開くと「アカウントを復元しようとしていますか?」とのメッセージが。

photo Googleの2段階認証で飛んできた通知には、「ブラジル」の文字が。そんな場所にいた覚えはありません……!

 これは、Googleの二段階認証を使っている方にはおなじみでしょう。最近の二段階認証は、ユーザーのスマホアプリに表示される6桁の数字を入力するタイプ以外の方法で、スマホアプリの“通知”を活用したものが増えています。例えば今回の通知の場合、確認して「はい」をタップするだけで、そのアカウントにログインができるようになるので大変便利です。

 こうした事情を考えると、ブラジルのマリオさんはいまだに自分の(ものだと思い込んでいる)アカウントにログインできない状況が続いているものと推察できます。恐らく、ログインできないのは自分がパスワードを間違えているせいだと考えて、「アカウントの復元」を行ったのでしょう。その時、Googleはアカウントの持ち主へ「このアカウントを復元しようとしているのは、本当にあなたですか」と確認する必要がありますから、そのメッセージがアカウントの持ち主である私に届いたわけです。

 通知を受け取った私は、もちろん「いいえ」をタップしました。が、この時ちょっと怖くなりました。もし間違えて「はい」を押してしまったら、どうなっていたのでしょうか。今回こそ私はマリオさんの間違いに気付けたものの、果たして、こうした「身に覚えのない通知」を誰もがいつでも冷静に確認できるものでしょうか?

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -