セキュリティの
学び場

今回の解説ニュース

Googleアカウントが乗っ取られてしまうことで、登録者数43万人を超えるYouTubeチャンネルも乗っ取られてしまう被害が発生したということです。Googleアカウントを乗っ取られない対策と、今回発生した不正アクセスの詳細について説明します。

今回のインシデントは、YouTubeチャンネルが第三者により乗っ取られてしまい、当該チャンネルで不正にライブ配信が行われてしまいました。原因として、YouTubeチャンネルを管理運用するGoogleアカウントに第三者からの不正アクセスがあったことが挙げられています。

対策として、社内他各種パスワードの変更とセキュリティの再設定、関連企業への連絡、Google担当者への状況報告を完了しています。再発防止策として、原因や経路の究明などの詳細や流出の可能性がある情報について調査を進めるとともに、セキュリティの厳格化や監視体制の強化などの対策を実施するということです。

Googleアカウントの乗っ取りを防ぐために気を付ける点

Googleアカウントの乗っ取りを防ぐためには、推測されないパスワードの設定、ログインするパソコンのコンピュータウイルスやフィッシングへの対策、二段階認証の設定と厳格な運用が挙げられます。サブチャンネルで公開されている報告動画で説明されている内容も踏まえて説明します。

Googleアカウント自体はメールアドレスとしても使われていますので、基本的にはパスワードによって守られています。メールアドレスは公開情報となりますので、パスワードがメールアドレスから推測可能なものであれば、Googleアカウントは乗っ取られてしまう可能性があります。よって、パスワードは第三者が推測できない文字列にすることが必要です。

また、推測されないパスワードを設定していても、Googleアカウントにログインするパソコンが乗っ取られてしまうと、パスワードを盗聴されたり、Googleアカウントの設定を変更されたりしてしまう可能性があります。パソコンが乗っ取られる主な原因として、メールや添付ファイルを経由したコンピュータウイルス感染やフィッシング詐欺が挙げられます。よって、重要なGoogleアカウントにログインするパソコンでは、それらの被害にあわないためにメールや添付ファイルを開くことは極力避けるようにしましょう。

それでも、何らかの理由でパスワードが漏えいしてしまうことが考えられるため、Googleアカウントに対する二段階認証の設定は必須と考えられます。しかし、二段階認証の情報を第三者に共有してしまったり、スマートフォンに表示される二段階認証の要求を心当たりがないのに承認してしまったりすると、セキュリティの意味がありません。よって、二段階認証の運用は厳格に行うようにしましょう。

DMに添付ZIPファイルが届くだけで乗っ取り被害に遭うのか？

実際にはZIPファイルが開かれており、コンピュータウイルスに感染してしまったことが考えられます。その後、パソコンがリモートから操作されることで、Googleアカウントも芋づる式に乗っ取られてしまったことが考えられます。

サブチャンネルで公開されている報告動画によると、企業案件のようなメールアドレスからZIPファイルをダウンロードしてダブルクリックしてしまったところから始まります。PDFファイルだと思ってダブルクリックするもファイルは開かず、それがコンピュータウイルスであったことが考えられます。

実際に、二段階認証は機能していたようですが、YouTubeチャンネルの所有者はいつものことと思い、スマートフォンで承認してしまったということです。サブチャンネルが守られていたのは、不正なアプリがインストールされているパソコンからのログインをGoogleが検知したことで、YouTubeチャンネルの所有者本人が不正アクセスに気が付いたことが挙げられています。

今回は、Googleアカウントを乗っ取られない方法と、発生した不正アクセスの詳細についてお届けしました。