Googleアカウントハッキング

Green Screen GMail
photo credit: Richard Masoner / Cyclelicious via photopin cc


はじめに


最近、Googleアカウントがハッキングされ、ハッキングしたアカウントを使って、Gmailでスパムを送信する手口が流行しているようです。


ここで、私自身もログイン履歴を確認したり、二段階認証を有効にしてみたので、私が実践しているハッキング対策と二段階認証を有効にする方法などを紹介していきたいと思います。


ログイン履歴


Googleアカウントのようなクラウドサービスでは、ログイン履歴を確認することで、ハッキングの有無を確かめることができます。


この際は、グローバルIPアドレスが変更された場合には、ローカルのどこかに保存する仕組みを作っておくと便利です。


グローバルIPの確認は、以下のコマンドより可能です。


curl ifconfig.me



メールに送りつける場合は、以下の様なシェルスクリプトを使います。

#!/bin/sh newip=`curl ifconfig.me`
oldip=`cat /usr/local/bin/old_ip.txt`
if [ $oldip != $newip ]
then
echo "$newip" > /usr/local/bin/old_ip.txt
mail -s "Current IP Address" あなたのメールアドレス < /usr/local/bin/old_ip.txt
fi



そして、 cronコマンドを使って、定期的にシェルスクリプトを実行します。以下は、5分毎に実行するということです。

*/5 * * * * /usr/local/bin/ipchecker.sh



このようなログとログイン履歴にあるアドレスとを照合します。

Gmailを開き、画面下の方にあるアカウントアクセシビリティの詳細を確認します。




私の場合、どうやら不審な履歴は確認できませんでしたので、ちょっとは安心といったところでしょうか。





二段階認証


アカウント > セキュリティ > 2段階認証プロセスから設定できます。これは、携帯端末のメールアドレスを使用し、2回目に入力しなければならないパスワードを当該メールアドレスに送信するという仕組みです。




なお、例えば、iPhoneなどの端末でも二段階認証を有効にしたアカウントのGmailを使いたい場合は、アプリケーション固有のパスワードを使用します。







クラックの原因



アカウントがクラックされる最大の原因は、パスワードアタックが成功したり、パスワードが盗みとられたりすることです。


パスワード



パスワードアタックには、簡易なパスワードでは、総当たり攻撃が有効になり、定型的一般的なパスワードには、辞書アタックが有効になります。


したがって、これらを回避するには、パスワードの中にオリジナリティある記号を入れる必要があります。


また、オリジナリティだけのパスワードを設定してしまうと、情報収集などによる推測が可能になってしまうので、それだけではダメです。


したがって、オリジナル+キーワードなどのように、様々な要素を組み合わせてパスワードを生成するのが有効です。この際は、大文字、数字などを使います。


アプリ


パスワードを盗みとられる原因は、ほとんどがアプリの脆弱性を利用し、任意のコードを実行されることだと思います。


この際、端末に保存されたパスワードが流出することがあります。この場合、暗号化はあまり意味をなしません。


したがって、不審なアプリをインストールしたり、脆弱なアプリを使用したりするのは控えましょう。


私が行なっている対策


私がクラックに備えて行なっている対策の一つに、バックアップアカウントの作成と結合というものがあります。


これはどういうことかというと、重要なアカウントには、必ずバックアップアカウントというものを作ります。


そして、例えば、Gmailで言うと、ここで作ったバックアップアカウントをアドレス帳に登録しておきます。逆も同じように登録します。


こうすることで、自身がスパムを発信している場合、すぐにそれを察知することができます。


これらは、TwitterやFacebook、Gmailなどで有効だと思います。


計画されたクラックの目的の殆どは、踏み台やスパムなどに利用することです。したがって、最終手段としてバックアップアカウントを作り、自身が加害者になる時間を必要最小限にとどめる努力をしておくことは大切だと考えます。


もちろん、バックアップアカウントをひとつ作って、自分のアカウントをそれに集約して登録するという方法を採用してもいいと思います。