Usenix Enigma Google が Gmail アカウントに 2 要素認証を導入してからほぼ 7 年が経ちますが、実際には誰もそれを使用していません。
カリフォルニアで開催されたUsenix主催のセキュリティカンファレンス「Enigma 2018」でのプレゼンテーションで、Googleのソフトウェアエンジニアであるグジェゴシュ・ミルカ氏は本日、現在、アクティブなGoogleアカウントのうち、サービスのセキュリティを2段階認証で保護しているアカウントは10%未満であると明らかにした。また、2016年のピュー研究所の調査によると、アカウント保護のためにパスワードマネージャーを使用しているアメリカ人はわずか12%程度に過ぎないとも述べた。
この記事を公開する直前、 El Regの読者を対象にTwitterでアンケートを実施しました。「Gmailユーザーのうち、二要素認証を利用している割合は、最も近い整数で何パーセントだと思いますか?」という質問です。1時間以内に回答した838人のフォロワーのうち、82%が10%未満を正しく選択しました。残りの回答者は10%以上を選択しました。
動揺…ミルカのEngimaでの統計
レジスター紙はミルカ氏に、なぜGoogleはすべてのアカウントで二段階認証を義務化しないのかと尋ねた。その答えは示唆に富んでいた。「答えはユーザビリティです」と彼は答えた。「追加のセキュリティ対策を強制すれば、どれだけの人が離れてしまうかということです。」
まだ設定されていない場合は、二段階認証を有効にしてください。二段階認証を有効にすると、あなたや誰かがあなたのアカウントにログインしようとする際、パスワードだけでなく、スマートフォンなどの別のデバイスからの認証が必要になります。つまり、パスワードを盗むだけでは不十分で、ロック解除されたスマートフォンなど、他のデバイスがなければログインできないのです。
Googleはプロセス全体をより使いやすくしようと努めてきましたが、ネットユーザーはそれをうまく使いこなせないようです。この防御機構を利用しようとした人の10%以上が、SMSで送られてきたアクセスコードの入力だけで問題を抱えていました。
2段階認証を設定していない場合、アカウントが乗っ取られたらどうなるでしょうか?Googleは、その点にも注意を払っています。
ハッキングの解剖…アカウントハイジャッカーの行動
被害者のウェブメール受信トレイを乗っ取る犯罪者やその他の悪質な人物を見抜くため、チョコレートファクトリーはヒューリスティックスを活用し、不正な行動を検知する手法を強化しました。典型的な攻撃者のルーティンは、アカウントへの侵入に成功すると、所有者への通知を停止し、受信トレイを荒らしてビットコインウォレットの情報やプライベートな写真など、すぐに価値がわかるものを探し出し、連絡先リストをコピーし、所有者から自分の行動を隠すためのフィルターをインストールするというものです。
Googleは、こうした不正行為を警戒し、人々に警告することで、アカウント乗っ取りの蔓延を抑制したいと考えています。しかし、ネットユーザーのセキュリティへの関心の低さを考えると、不審な活動に関する警告だけでは、人々が情報保護に取り組むきっかけにはならないでしょう。®
