ハッキングされたGmailアカウントは復旧できない？　すべきこと、しておくこと

世界最大のメールプラットフォームであるGmailは、25億人以上に無料サービスを提供している。そのため、AIを利用した攻撃から正規であるGoogleからのセキュリティ通知を悪用する手口まで、さまざまな方法でGmailに保存された貴重なデータを狙う攻撃者がいても不思議ではない。

では、Gmailアカウントがハッキングされ、しかも復旧オプションが機能しないとわかった場合、具体的にどうすればよいのか。以下に知っておくべきポイントを示す。

■助けて、Gmailアカウントを復旧できない

筆者のもとには、「Gmailアカウントがロックアウトされてしまったので助けてほしい」という連絡が最も多く寄せられる。しかし、長年ハッカーとして活動してきた身としては、こうした依頼の大半を「おっと、その手には乗らないぜ」という類だと疑わざるを得ない。仮にアカウント復旧に手を貸せたとしても、筆者ができるのはグーグル公式サポートフォーラムやGmailに関するReddit、そしてグーグル公式のアドバイスページを紹介するくらいだ。

ところが、ここ数日、そうした書き込みの中に「どうやってもアカウントを取り戻せない」という投稿が散見されるようになった。以下は、その代表的な例だといえる。

「新しいスマートフォンから自分のアカウントにアクセスできません。なぜなら、そのアカウントを復旧用アカウントとしても使っているからです」

これは一見、グーグルへの純粋な助けを求めるリクエストに見えるが、私は納得していない。主な理由は、言うまでもなく、回復用メールアドレスを復旧したいアカウントと同じものに設定することはできないからだ。できない理由は明白だろう。もちろん、以前はそうではなかった可能性もある。だが、仮にその可能性を考慮しても、このユーザーはやはり困った状況にある。

もしそれが本当に唯一有効な回復オプションだったとしたら、アカウントを復旧することはできないだろう。これを回避するための簡単な答えや特別なヒントはない。回復に同じアドレスを使用することはできない。だからこそ普通は安全なのだ。しかし、すべてのユーザーがすべての状況でそうとは限らない。

「復旧用の電話番号が変更されてしまった」場合はできることがある

■ハッカーがGmailアカウントの復旧用電話番号を変更してしまった

一方、公式のGmailサポートフォーラムに寄せられたある要請は、より注目に値する。「Gmailがハッキングされ、復旧用の電話番号が変更されてしまった」というものだ。これもまた復旧不可能に近い状況のように思えるが、実はそうとも限らない。

最近、Gmailワークスペースのセキュリティとプライバシーを専門とするグーグルの広報担当者ロス・リシェンドファーと話す機会があったのだが、その際にちょうどこのトピックが取り上げられた。リシェンドファーによれば、攻撃者に復旧用電話番号やメールアドレスを変更されたとしても、変更から7日以内であれば、元のアカウント所有者は登録してあった元の電話番号を使ってアカウントを取り戻せる可能性があるという。また、こうした復旧情報の改ざんを許してしまう背景には、Gmailアカウント所有者が「セキュリティキーやパスキーなど、フィッシング耐性のある認証技術」を導入していないケースが多いと警告している。

筆者としては、すべてのGoogleアカウント所有者が、特にGoogleパスキーなどのセキュリティキーを使用することを強く推奨する。これらは現在、容易に入手・利用でき、Gmailへの不正アクセスを防ぐ上で非常に有効だ。また、こうした攻撃を懸念する人々は、無料で提供されている「Googleセキュリティ診断ツール」を活用し、現在のセキュリティ状況を客観的に把握して対策を講じるとよい。