Googleアカウント乗っ取り防止のため、今すぐ再設定用電話番号を設定して下さい。
Googleアカウントのパスワードが突破され、再設定用メールアドレスまで変更されてしまいました。
同じパスワードを使い回ししていた事もあり、リバースブルートフォース攻撃を受けた可能性があります。
同じパスワードは使い回さない事、それから再設定用の電話番号を必ず設定しておきましょう。
Googleアカウントのパスワードが突破された
先日私が取得したGoogleアカウントが1つ乗っ取りに遭いました。
パスワードが突破されてログインされてしまったのですね。
クライアントWEBサイトのアクセス解析専用アカウント
今回乗っ取りに遭ったのは、クライアントのWEBサイトのGoogleアナリティクスデータを閲覧するために開設したアカウントです。
10年以上前に取得しており、基本的に私の管理下には置いていないアカウントです。
※実はクライアント自身も今は解析データを見ていない様で、まだ被害を知られていません。
アナリティクス以外に管理しているデータ(GmailやDrive、その他の情報)はありません。
乗っ取りの経緯
早朝5時くらいにこのアカウントの再設定用のメールアドレス宛に次々と通知が入ります。
1.新しいデバイスからのログインがありました。
2.パスワードが変更されました
3.再設定用メールアドレスを変更しました。
以上3通を最後に通知は途絶えます。再設定用アドレスを変えられてしまったので当然ですね。
最初はクライアントが変えたのかな?と思いました。
しかし最近は解析データの閲覧はおろかログイン自体もおそらくしていないので、冷静に考えるとあり得ません。
正直に話すしかありません
これで私もクライアントもアクセス解析データを見る事ができなくなってしまいました。
正直焦りましたが仕方ありませんね。
まだ発覚こそしていませんが、時期を見てお詫び・対処しようと割り切ります。
リバースブルートフォースの可能性
今回突破されたパスワードは連想できるようなものでは無いのですが、随分前から使っているパスワードです。
少し前に一度同じパスワードを設定していたドメインメールが乗っ取りに遭った事がありました。
つまり一度成功したパスワードでもって、あらゆる窓口でログインを試みられた可能性があります。
これが逆総当たり攻撃(リバースブルートフォース)ですね。
同じパスワードを使い回ししていた
お恥ずかしい話ですが、今回突破されたパスワードは他に複数あるツールのログインパスワードとして共通で使っていたものでした。
前回メールが突破された時に全て変更するべきだったと思います。反省点ですね。
パスワードは変更していくべきですし、使い回さない様にしなければならない事を痛感しています。
アカウント復旧を試みる
まずはこのGoogleアカウントを復旧できないかどうか試します。
まずは突破されたアカウントのメールアドレスを入れます。
ここで今までのパスワードを入れると「●時間前に変更されました」とガイダンスが出て弾かれてしまいます。
そこで下にある「パスワードをお忘れの場合」のリンクを押します。
すると、最後に設定したパスワードは何か?を聞かれますので、前のパスワードを入力します。
次の画面で再設定用メールアドレスを聞かれます。
これも変更されているので(前は通知を受けたGmailだったはず)前の再設定用メールアドレスを入れても弾かれます。
入力は何回も試せない
再設定用メールアドレスを何度か入れて失敗すると、数時間後に試すようにガイダンスが表示されますので注意して下さい。
数時間待たないと再度試す事ができないようなセキュリティです。
今回はパネルの下に「別の方法を試す」のリンクがあるのでそれを押してみました。
結果「アカウントを認証する事ができませんでした」とガイダンスが表示され、ここで手詰まりとなります。
今回のミス:再設定用の電話番号を入れていなかった
ここで最大のミスが発覚します。非常に悔みます。
普段全く使わないGoogleアカウントだったので「再設定用の電話番号」を設定していなかったのです。
音声かSMSによる6桁の番号送信で認証できていた
ここでもし電話番号を登録していれば、番号は固有のものなので私しか受け取る事ができません。
先ほどの「別の方法を試す」のリンクから、その番号宛にSMS等で6桁の認証コードが送れるようになっていたはずです。
その番号を入れる事でアカウントを復旧させる事ができた事でしょう。
この電話番号を設定していなかったために「別の方法を試す」リンクを押しても次のアクションが存在しない訳です。
電話番号は「最後の砦」
乗っ取りした側はパスワードを突破できた場合、当然パスワードを変えようとするはずです。
しかし再設定用のメールアドレスを変える前に「壁」が立ちはだかります。
それが再設定用の電話番号です。
パスワードや再設定用のメールアドレスを変更する場合は、再設定用の電話番号宛に認証コードが届きます。
当然の事ながら乗っ取り側は、そのコードを知る事ができません。
そうなればパスワードや再設定用メールアドレスを変更する事まではできない訳です。
全アカウントで再設定用の電話番号の登録を確認しましょう
色々ヘルプを調べてみましたが、ここまで来ると復旧させる事は不可能な様です。
となると諦めざるを得ません。大変残念です。
身に染みて感じたのは、再設定用の電話番号は必ず入れておくべきだという事です。
全てのアカウントの再設定用番号を確認してください。
今回確かにパスワードは突破された訳ですが、100%突破されないパスワードというのは存在しません。
パスワードを定期的に変更していくべきなのは承知していますが、管理が大変ですよね(いい訳です)。
となれば乗っ取る事ができない再設定用の電話番号の設定は必須です。
まだ入れていないという人は、今すぐ確認をして下さい。
解析タグの情報をアカウントなしで移す事ができないか
そもそも対象のクライアントのWEBサイト自体は私が管理しています。
ですので別のアカウントを用意して解析タグを付け替えれば、新しくデータを集計する事はできるのです。
しかし付け替えるという事は今までの集計がリセットされる事を意味しますよね。
大切なのはアカウントではなく紐づくデータの方
前から思っていた課題と被るので、ここで併せて一つ問題提起をさせて頂きます。
アクセス解析データを、Googleアカウントを経由せずに別のアカウントに移す事はできないのでしょうかね。
今回のGoogleアカウントはアクセス解析データが紐づいているだけのものでした。
つまり必要なのはアカウントではなく、解析データの方なのです。
Googleアカウントを探し出すのは難しい
長年サイト管理保守を担当していると出くわすのが、解析タグはついているが紐づくGoogleアカウント情報がわからないケースです。
この場合も同じで解析タグの集計データを自分のアカウントに移せれば、アカウント自体は必要なくなります。
Googleアカウント情報を探しだす事は非常に困難ですし、新しく一から集計し直す必要も無いのです。
通常は許されない行為なのは承知の上
もしそれができるなら、他社サイトの解析データをGoogleアカウントによる認証なしで移せる事を意味しますよね。
他社のアクセス解析を許可なしで簡単に盗み見る事ができる事になるので、それが許されないのは当然です。
サイト管理者は例外として欲しい
しかし今回は自分がその解析タグをつけているサイト管理者本人であり、サイトを更新する事ができる権限を持っている状態です。
この条件を満たす場合にのみ、解析データを移す方法って無いのでしょうかね。
もし移す方法があれば、今回Googleアカウントは乗っ取られましたが蓄積してきた解析データは引き続き閲覧できます。
もしかしたら私が知らないだけかも知れませんので、もう少し調べてみたいと思います。