グーグル、Gmail経由のハッキング被害増加を警告──自分のアカウントを回復する方法
グーグルは、同社のユーザーを狙った攻撃が大量に増加していることを認めた。特に、メールを介して届けられるパスワード窃取型の脅威は昨年84%増加し、この憂慮すべき傾向は「2025年に入ってさらに激化している」とグーグルは述べる。情報窃取型(インフォスティーラー)マルウェアの危険性を示す報告は枚挙にいとまがないが、ここではアカウントが乗っ取られた場合の復旧方法に関するグーグルの助言を紹介する。
■助けて――グーグルアカウントがハッキングされた
グーグルの公式サポートフォーラムやRedditの関連掲示板を覗くと、ハッキングされたアカウントへのアクセス回復を求める投稿が絶えず寄せられていることに気づくだろう。
たとえば、あるユーザーは「ハッカーにアカウントの電話番号と復旧用メールを変更され、ログインしようとするとパスワードが変更されたと表示される」と訴える。別のユーザーは「不審な活動の通知を受け取ったが、確認した時にはすでに遅く、連絡先と復旧情報も変更されていた」と報告する。さらに別のユーザーは「ハッカーがアカウントにパスキーを追加し、ログインのたびにQRコードの読み取りや、持っていないデバイスでの認証を求められる」と嘆く。
米国時間7月29日、グーグルのプロダクトマネジメント担当シニアディレクターであるアンディ・ウェンは、この問題の深刻さを改めて明らかにした。ウェンによれば、攻撃者はフィッシングと認証情報窃取の手法を強化しており、これらが成功した侵入の37%を占めるという。また、アカウント侵害においてクッキーや認証トークンの窃取が「指数関数的に増加している」ことも指摘された。
筆者はForbes.comの様々な記事で、これらの攻撃を緩和するための手順について解説してきたので、そちらも確認してほしい。しかし、最悪の事態が発生し、グーグルアカウント乗っ取りの被害に遭い、あなたの大切なアカウントから締め出されてしまった場合はどうすればよいだろうか。そのアカウントは、とりわけ、あなたのGmail受信箱という機密データの保管庫を開く鍵でもある。パニックになる必要はない。グーグルが対応策を用意している。
■グーグルアカウント復元のガイド
Googleアカウントが乗っ取られたり、何らかの理由で締め出されたりした場合に、いくつかの簡単なステップでアクセスを回復できる役立つ公式オンラインガイドがある。
(1)ブラウザーで「アカウント復元ページ」にアクセスし、自分のGmailアドレスを入力する。過去にそのアカウントでサインインしたことのあるパソコンやスマートフォンを使い、いつも使用しているブラウザーで、普段ログインしている場所からアクセスするのが望ましい
(2)グーグルが提示する質問には可能な限り正確に答える。パスワードを思い出せない場合は以前使っていたものを入力するか、思い当たる候補を入力する
(3)復旧用メールアドレスや電話番号、認証アプリ、またはデバイスへの通知にセキュリティコードが送られることがある。ただし「グーグルがメール・電話・メッセージでパスワードや認証コードを求めることはない」ため、そうした要求はハッカーからのものと判断すべきだ
(4)指示に従い、パスワードをリセットする
■予防は治療に勝る
とはいえ、やはり予防は治療に勝る。ハッカーによるアカウント乗っ取りを防ぐ最も効果的な単一の方法は、たとえ二要素認証と組み合わせたとしても、ユーザー名とパスワードの組み合わせより安全な形態のユーザー認証情報を使用することである。そう、繰り返し強調するが、パスキーのことだ。
パスキーは、サーバー側で保存される固有の公開鍵と、ユーザーのデバイスにのみ保存される秘密鍵という2つの鍵で構成されている。公開鍵は秘密鍵でしか正しく応答できないチャレンジを作り出し、鍵はランダムに生成され、サインイン時に共有されることはない。完璧なセキュリティは存在しないものの、パスキーは推測や盗聴がほぼ不可能な仕組みであり、認証情報の安全性を大きく高める技術だと評価されている。
グーグルは、パスキーの主な利点を次の3点にまとめている。
・フィッシング耐性:ユーザーが騙されてパスキーを攻撃者に渡すことができないため、パスキーは本質的にフィッシング攻撃に強い
・簡便性:パスキーによるサインインは、PINコードや指紋・顔認証でデバイスのロックを解除するのと同じくらい簡単に行える
・一意性:パスワードのように使い回されることはなく、各サービスやウェブサイトごとに固有のパスキーが生成される
さらに、従来のパスワードと二要素認証からパスキーへの切り替えは、こちらから短時間で完了し、ユーザー側の負担も少ない。導入しない理由は見当たらない。
■新しいシスコ Talosレポートがグーグルの警告に重みを与える
シスコでTalosインテリジェンスグループの情報セキュリティアナリストを務めるレクシー・ディスコラは、最新のインシデント対応報告の概要で「フィッシングは依然としてハッカーによる初期侵入の主要手段です」と警告した。報告では、観測されたフィッシング攻撃の大半が認証情報の収集を目的としており、サイバー犯罪者は金融詐取や機密データ窃取といった侵害後に行う活動よりも、侵害した資格情報を転売する方が簡単で確実に利益を得られると考えていることが示唆されている。
また、攻撃者は正規で信頼されているメールアカウントを乗っ取り、それを利用して組織のセキュリティ制御を回避し、受信者に信頼感を与えている点も強調された。報告書で引用された一例では、被害者が偽のMicrosoft 365ログインページに誘導され、そこで偽の二要素認証コードの入力を求められていた。これは攻撃者がユーザーの認証情報やセッショントークンを盗むための手口とみられている。こうしたリスクはグーグルのプラットフォーム利用者に限らず、すべてのユーザーが十分に警戒する必要がある。
「パスワードをリセットするな」FBIが異例の警告──企業IT部門が標的の新手口
Scattered Spider(スキャタード・スパイダー、「散らばった蜘蛛」)とは、今日の様々な組織が直面している最も危険な脅威の1つに与えられた、やや柔らかい響きの名前だ。小売業や航空業界などを標的とした壊滅的な攻撃の背後にいるとみられるランサムウェア攻撃者で、その活動は衰えを見せていない。ただし最近になって、多数の攻撃については同グループが実行犯ではない可能性が報じられている。
この点については後で説明するが、連邦捜査局(FBI)と米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が共同で発行したサイバーセキュリティ勧告を更新し、重要な新警告を出した──「パスワードをリセットしてはならない」。以下では、FBIの最新警告と進行中のScattered Spiderの脅威、そしてその他の危険なランサムウェア集団がもたらす脅威について、知っておくべきポイントを示す。
FBIの「パスワードをリセットするな」警告の理由とは?
パスワードが侵害される攻撃に直面していながら「リセットするな」と言われるのは、一見すると直感に反する。実際、グーグルは長年にわたってGmail利用者へパスワード変更を促し、多くのサイバーセキュリティ警告でも同様の助言がなされてきた。しかし、サイバーセキュリティでは常に文脈が重要だ。攻撃を防ぐ目的で、より安全な技術(例えばパスキー)へ移行するためのパスワード変更や、弱い・過去に漏洩したパスワードを使わないことは理にかなう。だが今回の助言は別であり、Scattered Spiderが攻撃で採用する特定の手口を封じるものだ。
従業員になりすまし、IT部門やヘルプデスクのスタッフを標的に
米国時間2025年7月29日付で更新されたFBIとCISAのサイバーセキュリティ勧告(アラートコードAA23‑320A)では、Scattered Spiderが「従業員になりすましてIT部門やヘルプデスクのスタッフを説得し、機密情報の提供や従業員パスワードのリセット、さらに従業員の多要素認証(Multi‑Factor Authentication;MFA)を攻撃者が制御する別のデバイスへ転送させている」と警告している。
FBIは、同グループが複数回の電話や連絡を組み合わせた「多層的なソーシャルエンジニアリング」を用い、パスワードリセットを実行するための手順をサポート担当者から聞き出していると説明する。「その情報を特定した後、攻撃者は従業員やヘルプデスクに繰り返し電話をかけ、標的となる従業員のパスワードリセットに特有の情報を収集し続ける」とFBIは述べる。この一連の情報収集の頂点として、該当のヘルプデスクへ極めて標的を絞ったスピア(標的型)フィッシングの電話がかけられ、「パスワードをリセットし、MFAトークンを転送する」よう誘導する。
FBIは、重要なシステムにアクセスするすべてのサービスやアカウントでフィッシング耐性の高いMFAを採用するよう組織に勧告している。また「ヴィッシング(音声通話を利用したフィッシング)やスピアフィッシングに対抗する従業員教育を継続的に行うべきだ」と指摘し、英国国家サイバーセキュリティセンター(U.K. National Cyber Security Centre)の最新の対策指針に従うよう助言する。
具体的には、ヘルプデスクのパスワードリセット手順を見直し、特に権限が高いアカウントのリセット時にヘルプデスクがどのようにスタッフの資格情報を確認するかを点検することが推奨されている。
FBI警告の後に浮上したScattered Spiderの関与疑惑
今年、Scattered Spiderや、主にティーンエイジャーで構成される犯罪集団 The Com(ザ・コム)によるとされたランサムウェア攻撃は大きな衝撃を呼んだが、実際にはまったく別の脅威主体が実行した可能性が浮上している。その主体はShinyHunters(シャイニーハンターズ)として知られる恐喝グループで、保険会社アリアンツ・ライフにおける最近のデータ侵害の背後にもいるとみられている。この混乱は驚くことではない。ShinyHuntersはScattered Spiderと同様の戦術書を使っていると見られ、多くのセキュリティ専門家がカンタス航空、LVMH、アディダスなどの攻撃についてShinyHuntersの関与を指摘している。
サイバーセキュリティ企業CybaVerse(サイババース)の最高技術責任者ジュリエット・ハドソンは「今回の新しい情報は、どの攻撃がScattered Spiderによるものかをめぐってここ数か月間広がっていた混乱を多少鎮めることでしょう」と述べた。また、Scattered SpiderとShinyHuntersの両グループがメンバーを共有しているという憶測も根強く、協力者を含めるとランサムウェア界隈ではこうした協調関係が想像以上に一般的だ。最新のインテリジェンスはこの説を裏付け、「脅威アクター同士が協力し合い、戦術・技術・手順を共有して互いを支援していること」を明らかにしている。
こうした情報は、FBIの警告と対策の重要性をさらに裏付ける。ヴィッシングという音声通話型のフィッシングが、脅威の中心に浮上しているのだ。
ハドソンは「こうした電話は被害者を偽装ドメインに誘導し、ログイン情報を入力させます。AIを用いて作られたとみられる偽のドメインは非常にリアルで、多くの人がだまされることでしょう」と警告した。したがって、FBIの警告を軽視せず、推奨された対策を実施し、Scattered SpiderやShinyHunters、その他無数のサイバー犯罪集団から身を守ることが欠かせない。
「この2次元バーコードをスキャンするな」──FBIによるさらなる警告
FBIからの重要なサイバーセキュリティ警告は、ロンドンのバスのように「しばらく来ないと思ったら立て続けに来る」ものになりつつある。FBIがScattered Spider関連の勧告を更新してからわずか数日後、同局は新たにアラート番号I‑073125‑PSAを発表し、「ブラッシング詐欺」と呼ばれる古典的な詐欺に新たな変形が加わったとして一般に警告した。
ブラッシング詐欺では、出品業者がオンラインでの製品評価を不正に引き上げるために、商品を受取人に勝手に送り付け、その受取人の情報を使って好意的なレビューを投稿する。今回FBIが警告する新手口は、同様のテーマに沿いながらも、こうした荷物に付けられたQRコードなど2次元バーコードを利用してさらに金銭詐欺を仕掛ける点が特徴だ。
その荷物に含まれる2次元バーコードは、「受取人に個人情報や金融情報を入力させるか、知らないうちにスマートフォンからデータを盗む悪意あるソフトウェアをダウンロードさせる」とFBIは説明する。このような小包は、受取人が悪意ある2次元バーコードをスキャンするよう誘導するため、差出人に関する情報が記載されないまま送付されることが多い。
見覚えのない差出人から突然荷物が届いた場合には、中身や包装に印刷された2次元バーコードを決してスキャンしてはならないとFBIは助言している。不審な荷物や疑わしい行為に遭遇した際には、FBIのインターネット犯罪苦情センター(IC3) www.ic3.gov に報告するよう呼び掛けている。
