iran
hacks
attacks

Googleがイランのユーザに中間者攻撃後のGmailアカウント再セキュア化策を教える

次の記事

JavaScriptハッカソンNode.js Knockout 2011の入賞作品をご紹介

gmail-logo

先週起きた、イラン人ユーザをターゲットとする中間者攻撃に対応してGoogleは、イランのユーザに対し、彼らのGmailアカウントを再びセキュアにするための具体的なやり方をアドバイスしている。犯人たちはオランダのルート認証機関DigiNotarに侵入して、そこが発行した形のニセのSSL証明書を入手した。その偽造証明書により、ハッカーたちはGoogle.comなどなどになりすますことができた。

この犯行の被害者はGoogleだけではなく、犯人たちはFacebook、Microsoft、Yahoo!、Tor、Skype、Mossad、CIA、MI6、LogMeIn、Twitter、Mozilla、AOL、WordPressなどなど数百の証明書に署名した。オランダ政府が発表したスプレッドシートには、この犯行後に分かった531の不正証明書が明記されている。TorのWebサイトのここに、その完全なリストがある。

GoogleやMozillaなどはただちに彼らのWebブラウザの信任機関から、DigiNotarを外したが、そのときにはすでに、かなりの数のユーザが被害を受けていた。

Googleは同社のブログ記事の中で、問題を軽視しようと努力している: “Chromeブラウザのユーザはこの脅威から保護されている”。しかしそれは、必ずしも正しくない。GoogleがDigiNotarを信任機関から外したあとに、保護された状態になったにすぎない。それ以前には、ユーザが被害に遭ったかもしれない時間帯があったのだ。

まだ対策をとっていない人には、脅威はまだ存続しているかもしれない。セキュリティの研究家Graham Cluleyはこう説明する: “ユーザのGmailアカウントに侵入したハッカーたちは、もはやそのパスワードを知らないかもしれないが、侵入時に知り得た情報をもとに、今後もそのユーザの通信をモニタできるかもしれない。”

そのためGoogleは、イランのユーザに、アカウントを保護するために次のステップを実行することをすすめている:

  1. パスワードを変える。すでに、Googleのアカウントにサインインしたときにパスワードの変更を求められたかもしれない。まだなら、ここで変更できる。
  2. アカウントリカバリオプションを確認する。第二のメールアドレスや電話番号などは、パスワードを失ったときにアカウントへのアクセスを再確保するための助けになる。自分のリカバリオプションが正しいことを確認し、それらのアップデート(最新化)はここで行う。
  3. 自分のアカウントにアクセスさせているWebサイトやアプリケーションをチェックし、よく知らないものはここで解約する。
  4. 自分のGmailの設定のうち、疑わしい転送アドレス委任アカウントをチェックする。
  5. Webブラウザの画面に現れる警告メッセージに注意し、それらをクリックしないこと。

今回の犯行で自分のアカウントが侵されたと思われるユーザは、ここでリカバリ処理を開始できる。

アップデート: Googleの広報は、Chromeブラウザ(など)からの警告によって、初めて問題の存在を知った、と言っている。そしてChromeのユーザは、証明書に関するポップアップ警告を無視してクリックしないかぎり、初めから保護されていたはずだ、と。

GoogleがChromeユーザの安全を主張するのは、要するにこのことだ。しかし、本当の保護は、なになにをクリックするな、などの事前注意すら要らないものでなければならない。Chromeユーザは、警告はもらったが、保護はされていない。先週私の友人(技術にはうとい人)が、やはり同様の警告ポップアップをクリックして、見事にウィルスに感染した(今回の犯行とは無関係だが)。

[原文へ]
[jpTechCrunch最新記事サムネイル集]
[米TechCrunch最新記事サムネイル集]
(翻訳:iwatani(a.k.a. hiwa))