海外における個人情報流出事件とその対応「Gmailリスク」(2)3月にもGmailアクセスを妨害 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.21(火)

海外における個人情報流出事件とその対応「Gmailリスク」(2)3月にもGmailアクセスを妨害

国際 海外情報

●問題が続くGoogleと中国
Googleと中国をめぐる騒動は継続的に起こっている。2009年12月には、Googleの社内インフラに中国から高度な攻撃が行われた。その結果、中国本土から撤退、香港に移動した。今年になってからも、中東で繰り広げられたFacebookなどを用いた反政府活動を受けて、3月にはGmailへのアクセスやメール送信を妨害したとされている。

中国政府は当然ながら、Google側の発表に反論している。6月2日、外務省のスポークスパーソンHong Leiが「Washington Post」に対し、「中国政府はサイバー犯罪活動に強く反対する」として、「(サイバー犯罪と)戦う国際社会と協力する用意がある」と表明している。Leiは「中国への非難は根拠のないもの」として、Googleによる非難は許容しがたいとの強い姿勢を示した。

プレスカンファレンスにおける記者の一人からの事件に関する質問に対しても、「中国政府がハッキング活動を支持しているという主張は、まったく事実無根」ときっぱりと否定。「中国は、ハッキングをはじめとするインターネットとコンピュータセキュリティの妨害行為に強く反対して、強固に取り締まりを行っている」という。そして記者に対して、ハッキングは世界規模の問題で中国のネットワークもハッカーの攻撃を受けていると説明。ハッカーによる国家のネットワークへの攻撃は、米国に限らないと反発した。

また、「中国政府はインターネットの安全に高い価値を置いていて、インターネットをモニターしている」と語った。中国政府が監視していると言っているのは、アダルトサイト、暴力などの有害サイトだが、実際は民主化を求めるなど反政府活動のサイトの検閲も行っている。

●検討が必要なWebメールのセキュリティ
事件では個人のGmailのアカウントからの漏えいということで、政府関係者のアカウントも狙われたものの、関係者が業務に用いるアカウントから漏れたわけではない。しかし、業務用のメールのGmailなどへの転送は一般的に行われている。そのため、どれだけの重要情報が流出したのか関心が集まっている。

Googleでは、ブログで状況を発表することでユーザに警戒を呼びかけた。セキュリティ改善のために、以下のような数種類の方法を紹介している。
・2段階認証プロセスを有効にする。Gmailログインの際、メールアカウントとパスワードを入力するだけでなく、認証コードとして携帯電話に送信されたコードの入力が求められる。今回の事件でも、2段階認証を利用していたユーザのアカウントは攻撃から逃れた。

・Gmailのパスワードは独自のものとして、他のサイトでも使用しているパスワードを使わない。
・ログインの際、ドメインがhttps://www.google.comであるかを確認する。(httpsはhttpにSSLによるデータ暗号化機能を加えているため安全性が高く、Googleではログイン画面にこのhttpsを用いている。httpsになっていない場合、偽サイトの可能性がある。)
・Googleではメールのメッセージでパスワードを質問したり、フォームにメールアドレスを記入して返送するようにリクエストすることはないことに留意するよう呼びかけた。(メールでパスワードを質問するのは、犯罪に使用するためと考えることができる。)
・Gmailの設定の転送とアカウントへのアクセス許可の設定をチェック。

Gmailへの攻撃が続いていることもあり、今回のGmailアカウントへの攻撃を最初に報告したParkourは、Webメールでの組織の極秘情報やデータのリスク、特に組織のメールシステムはセキュリティを強化して守っていても、スタッフが個人のGmailなどWebメールに転送する可能性がある。どのような状況で、スタッフが転送を行うのか例を挙げて、リスク理解を求めた。

1:アプリ、Googleドキュメントは、同僚などとプロジェクト用に簡単に文書共有ができるが、その利便性がリスクとなる可能性もある。
2:個人のモバイルデバイスなどでメールをチェックできるよう、業務用のメールをGmailアカウントに自動的に転送する(結果、Webメールから重要情報が漏えいする可能性もある。)
3:メールを送信するとき、その受信者が無料のWebメールサービスを使用することがある。受信者のアカウントを管理することができないため、この受信者から漏えいのリスクも理解する必要あり。

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報 西川桂子)
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

    スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  2. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  3. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

    インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  4. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  7. SMSによる二要素認証が招くSOS(The Register)

  8. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×