グーグルが20億ユーザーに警告―今すぐGmailをパスワードからパスキーに変更を
パスキーは、パスワードに代わる簡単かつ安全なログイン手段です。 指紋認証、顔認証、またはスマートフォンの画面ロック(PIN など)を使用して Google アカウントにログインできます。 重要: Google アカウントにパスキーを追加しても、アカウントに現在設定されている認証要素や復元要素は変更または削除されません。
以前から繰り返し述べてきたが、残念ながら読者が即座に行動を起こさない限り、この警告を言い続けるしかない──Gmailは他のすべてのメールプロバイダーと同様に攻撃を受けている。私がただ言っているだけではなく、グーグル自身が、米国消費者の61%がメール攻撃の標的になったことを認めている。この数字を直視してほしい。
さて、少しは危機感を抱いただろうか。抱いたはずだし、メールハッカーの次の犠牲者にならないために、ただちに手を打つべきだ。グーグルのプライバシー・安全・セキュリティ担当バイスプレジデント、エヴァン・コツォヴィノスは、プラットフォームの20億ユーザーに向けて「今すぐGmailパスワードを変えましょう」と「強く推奨」する警告を発している。以下、知っておくべきことと取るべき手順を示す。
■グーグルは、Gmail アカウントを「パスキー」に即時変更するよう強く推奨
大半のユーザーはいまだにパスワードでGoogle アカウント、ひいてはGmail アカウントにサインインしている。これは恐ろしい事実だが、セキュリティに関する変化には人は抵抗しがちで、「壊れていないなら直すな」という格言が誤って持ち出されることが少なくない。私が「そのパスワードはアカウントやメール、データ、財産を危険にさらしている」と伝えると、「このパスワードを5年間使い続けているが、一度もハッキングされたことがない」と返されるのが典型例だ。しかし、それは時間の問題であり、サイバーセキュリティの現状を見るに、その刻限は刻一刻と迫っている。
■60%以上の米国消費者が詐欺の増加を感じ、そのうち3分の1がデータ侵害を経験
「米国消費者の60%超が、過去1年で詐欺が増加したと感じ、そのうち3分の1が個人的にデータ侵害を経験しています」とグーグルのコツォヴィノスは語る。こうした事情こそが、グーグルのトップセキュリティ専門家が、管理が煩雑でフィッシング攻撃に弱いパスワード使用をやめるよう全ユーザーに呼びかける理由である。
■パスキーはフィッシング耐性を備え、顔認証や指紋認証でログインできる
ただしグーグルは、Gmailパスワードを「より強固なパスワード」に変えるのではなく、まったく異なる仕組みの「パスキー(Passkeys)」に移行するよう推奨している。「われわれはパスワードの先に進みたいのです」とコツォヴィノスは明言しつつ、「サインインを可能な限り簡便に保ちたい」と続けた。パスキーはフィッシング耐性を備え、顔認証や指紋認証でログインできる。「パスキーの利便性と安全性をGoogleアカウントで組み合わせれば、『Google でログイン』を使ってお気に入りのウェブサイトやアプリにログインでき、管理すべきアカウント数を大幅に減らせる」と彼は結論づけている。
さらに、Gmail アカウントにパスキーを追加しても、既存の認証要素や回復手段が変更・削除されるわけではない。パスキーは「そのデバイスを所持している本人」であることを検証し、二要素認証(2FA)のステップをバイパスする仕組みである。
このアドバイスは歓迎すべきものだ。AIを駆使する攻撃を含むGmail アカウントへのサイバー攻撃が数カ月にわたり続いている現状を踏まえれば、速やかな対応が必須だ。ではその手段を説明しよう。
パスキーとは何か、パスキーの導入方法は
■パスキーとは何か、それがGmailパスワードより技術的に安全な理由
パスキーの仕組みを理解すれば、なぜグーグルや他の主要テック企業がユーザーに導入を急がせているのか、その意図が明確になる。私は大手パスワードマネージャー「1Password」(ワンパスワード)のチーフプロダクトオフィサーであるスティーブ・ウォンに、その技術の核心を聞いた。
「すべてのパスキーはふたつの鍵(公開鍵と秘密鍵)で構成されています。ひとつはサービス提供者のサーバーで作成・保存される一意の公開鍵で、もうひとつはユーザーのデバイスに保存される秘密鍵です」とウォンは説明した。
このようなすべての公開鍵・秘密鍵システムと同様に、公開鍵(誰でも知ることができる)は「チャレンジ」(認証のための課題)を作成するために使用され、そのチャレンジは秘密鍵(秘密であり、自分だけが知っている)にアクセスできる場合にのみ解くことができる。「このため、パスキーはハッカーにとって推測や傍受がほぼ不可能です。なぜなら、鍵はランダムに生成され、サインインのプロセス中に共有されることがないからです」とウォンは続けた。
パスキーは、デフォルトで強力であり、ほとんどのフィッシング攻撃に耐性を持ち、簡単に使用できるものと考えることができる。ハッカーはパスキーが何であるかを単に推測することはできず、また、再利用された脆弱な認証情報のリストを使っても侵害することはできない。実際、パスキーは盗まれることがないため、そもそも盗まれた認証情報を使用する可能性が排除される。秘密鍵は決してデバイスから離れることがなく、パスワードスプレー攻撃やブルートフォース(総当たり)攻撃の機会もない。脆弱なパスキーを作成することはできない。それは矛盾した表現である。すべてのパスキーは、デフォルトで、そして定義上、強力かつ安全なのだ。
■Gmailパスワードをパスキーに置き換える7ステップ
まずは事前準備が大切だ。グーグルは以下の環境を整えるよう推奨している。
Google アカウントで「パスキー」を作成する際の対応環境
・Windows 10以降、macOS Ventura以降、またはChromeOS 109以降を搭載したコンピューター
・iOS 16以降またはAndroid 9以降を搭載し、Bluetoothと画面ロックを有効にしたスマートフォン
・Chrome 109以降、Edge 109以降、Firefox 122以降、Safari 16以降など対応ブラウザー最新版
・iOSおよびmacOSユーザーはiCloudキーチェーンを有効化
準備が整ったら、以下の7ステップを実行し、移行を完了しよう。
Google アカウントで「パスキー」を作成する手順
(※こちらのナビゲーションでは、すぐにパスキーの作成を開始できる)
1. Google アカウント設定にアクセス
2. 左側にあるメニューにある「セキュリティ」を開く
3. 「Googleにログインする方法」の「パスキーとセキュリティ キー」をクリックすると、パスキーを作成する手順が開始される
4. 本人確認のため、パスワードの入力が求められるので、入力し「次へ」をクリック
5. 「パスキーとセキュリティ キー」ページが開いたら、「パスキーを作成する」をクリック
6. 画面の指示に従う(利用OSなどによって表示される画面が異なる可能性がある)
7. コンピューターまたはスマートフォンで指紋認証または顔認証を行い、設定完了
これでGmailパスワードの代わりにパスキーを用いてサインインできるようになり、ハッカーがデータ侵害に用いる主要な手段をひとつ排除できる。詳しくはグーグルの案内ページを参照してほしい。
ハッカーの攻撃から「Gmail アカウント」をガッチリ守れる3手順と追加策
Gmailは2025年現在、18億人ものアクティブユーザーを抱えている。こうした状況の中、次々と報道される「Gmail アカウントが巧妙な攻撃を受けている」という見出しを目にすれば、すべての希望が絶たれたかのように感じても不思議ではない。筆者もそうした記事を書いてきたひとりであり、本稿もそのひとつだ。こうした記事が書かれる理由は、Gmailが世界で最も人気のある無料メールプラットフォームであり、その中の貴重なデータを狙う攻撃が後を絶たないという事実もあるためだ。
ただし、もうひとつ事実を挙げるなら、実際にハッカーにアカウントを乗っ取られるユーザーは全体から見ればごく少数だということだ。誰も「自分のGmailは無事だった」とはわざわざ書かないので、被害の話ばかりが目に入りやすい。筆者が攻撃手法に言及するのは、脅威を広く知らしめることと、ユーザー自身が身を守るための方法を提示することが目的だ。本稿は特に後者の「防御策」に焦点を当てる。今すぐ行動すれば、ハッカーが仕掛ける前に驚くほど少ない手間でアカウントを守れる。
攻撃から守るべき要素や防御機能を理解する
どのようなメールプラットフォームやアカウントも、国家支援のスパイ活動を担う攻撃者や、ネットワークへの侵入を狙うランサムウェア集団など、あらゆるサイバー犯罪者の標的となりうる。一方で、以前から何度も述べてきたように、Gmail自体は実のところ安全性が高いサービスだ。フィッシングやマルウェア、スパムメールを大量に学習した画期的な大規模言語モデルが裏で稼働しているほか、送信元認証プロトコルを厳格化する新しいルールを導入し、ユーザーが受信する悪意あるスパムを大幅に減らしているからである。
それでもなお、攻撃は日々起こり、一部のアカウントが侵害される事例は確かに存在する。したがって、グーグルが備えている防御策に頼るだけでなく、自分自身でも能動的にセキュリティ対策を活用して、メールをハッカーの手に渡さないようにする必要がある。
防御ステップ1:「セキュリティ診断」で状況を確認
Gmail アカウントをハッキングから守るうえで、まず行うべきはグーグルの「セキュリティ診断」だ。これは、二要素認証(二段階認証)の設定状況やメール転送の有効化、セーフブラウジング(安全な閲覧)コントロールなど、複数のセキュリティ機能が適切に動作しているかを一括で確認できる最も効率的な方法である。診断ページにアクセスした時点で必要な情報は自動的に集約され、使いやすいチェックリスト形式で示される
防御ステップ2:「高度な保護機能プログラム」を検討
私はGmail アカウントを保護するために、できるだけ多くの防御策をひとつの戦略的行動にまとめることで、できるだけ手間を減らすことにしている。そして、グーグルの「高度な保護機能プログラム」に登録することを推奨する。この推奨には多くの理由があるが、基本的には、非常に執念深いハッカーがいたとしても、あなたのGmail アカウントを獲得できないよう防御に役立つ追加チェックを確実に行えるからである。これには、潜在的に有害なダウンロードをブロックする機能の追加、(ほとんどの)グーグル以外のアプリがあなたのGmail アカウントからデータにアクセスすることの制限、「アカウント回復プロセス」の悪用を防ぐために物理的なセキュリティキーのさらなる重視といった追加のステップを課すことなど、すべてが含まれている。
防御ステップ3:パスキーを使用
これは本来、迷うまでもない選択だ。パスワードをやめ、Gmail アカウントを保護するためにパスキーを使うべきである。グーグルのGmail広報担当、ロス・リチェンドファーはこう語る。
「グーグルの調査によると、セキュリティキー(パスキー)は、SMSやアプリを用いたワンタイムパスワードなどの従来型二要素認証(2FA)方式に比べ、自動ボット攻撃、大量フィッシング攻撃、標的型攻撃に対してより強力な防御を提供します」。
実際、パスキーに切り替えると、Gmail アカウントは多くの一般的なハッキング手法に対して格段に堅牢になる。しかも、このパスキーは上述の「高度な保護機能プログラム」と併用できる。グーグルアカウントで初めてデバイスにサインインするときにパスキーを求められるため、たとえ攻撃者がユーザー名とパスワードを入手していても、本人のパスキーと、そのパスキーを格納しているデバイスと、生体認証がなければログインは不可能だ。高度な保護機能プログラムのプロダクトリードであるシュボ・チャタジーも次のように述べている。
「パスキーは、リスクの高いユーザーに対して、すでに所有している個人デバイスを利用する簡単さとセキュリティを提供するオプションになります」。
さらに実施すべきふたつのGmail アカウント保護策
知識が増えれば、それだけ守りを強化できる。以下に、追加で導入すると効果的なふたつの手段を紹介する。
追加の保護策ステップ1:スマートフォン用のGmailアプリを利用
ハッカーは常に新たな手口でGmailユーザーを狙っており、特にフィッシング攻撃では「リンクにカーソルを合わせた際に表示されるURL情報を偽装する」といった攻撃が用いられる。多くの人は「リンク先を確認すれば安心」と考えるが、マウスオーバー時に表示されるテキストそのものを編集されては、PC用ブラウザー版でURLを確かめても完全に安全とはいえない。スマートフォン用のGmailアプリでは、こうした偽装が効きにくい。グーグルの広報担当者は次のように述べている。
「Gmailは、スパム、フィッシング、マルウェアの99.9%以上をブロックします。AIを活用した保護の一環として、リンクの偽装を含めた手口も考慮してメッセージを分類しています」。
攻撃者が新たな方法を悪用してGmailユーザーを罠にかけ続ける中、特にフィッシング攻撃から始まる脅威に関しては、スマートフォン用のGmailアプリを使用することが最良の防御策かもしれない。
ソーシャルエンジニアリング(社会工学的手法)によって採用される戦術のひとつは、リンクホバリング攻撃として知られるもので、編集されたマウスオーバーテキストを使用する。ユーザーはリンクが実際にどこを指しているかを判断するためにURLを確認するよう警告されているものの、実際には安全性はまったく保証されない。マウスオーバーテキストを編集することで、攻撃者はリンクが正しい場所に誘導しているように見せかけることができるからだ。これはPC用のウェブブラウザークライアントで機能し、実際のURLは画面の下部に表示され、編集されたテキストはホバーされたリンクの隣に表示される。
しかし、Gmailアプリを使用すればこの欠点はなくなる。「Gmailはスパム、フィッシング試行、マルウェアの99.9%以上があなたに届くのをブロックしています」とグーグルの広報担当者は述べた。「AIベースの保護の一環として、Gmailはメッセージを分類する際にリンク難読化方法を考慮に入れているのです」。
追加の保護策ステップ2:「すべてのデバイスを管理」を確認
AIを活用したフィッシング攻撃が標準となりつつあるなど、脅威アクターの手法はますます高度化している。このような攻撃に対応するため、Gmailユーザーはふたつの重要な行動を取る必要がある。
まず、ほとんどのフィッシング攻撃は非常に説得力があり、緊急性を煽って被害者に即座の恐怖反応を引き起こそうとする。そのため、こうしたプレッシャーを感じた場合、まず深呼吸して10秒数えることが重要だ。簡単ではないが、メールや電話に基づいて行動する前に10秒数える習慣をつけることで、大きな損失を防げる。この10秒に何のコストがかかるだろうか。まったくかからない。それでも、この行動は非常に価値ある保護となる。
次に、多くの攻撃では、Gmail アカウントが現在まさに脅威にさらされており、ハッカーがパスワードや2段階認証の設定を変更しようとしていると信じ込ませ、緊急性を強調する。
その場合は、まずは自分のGmail アカウントにある「セキュリティ」タブを開き、「お使いのデバイス」という項目を確認しよう。「すべてのデバイスを管理」(または「デバイスを管理」)をクリックすると、 現在ログインしているデバイスや、過去数週間(おおよそ過去28日間)にログインしたデバイスの一覧が表示される。
ここでは、自分のデバイス以外の機器がアカウントを使用しているかどうかを確認しよう。おそらくその結果はゼロだろう。
Gmail アカウントをハッカーに奪われないよう、今この瞬間から積極的に防御策を整えよう。そうすれば、世界で最も広く使われているメールプラットフォームを、より少ないリスクで使い続けられる。
