グーグル、Gmailユーザーの大半が「パスワードを変更する必要性がある」と認める（Forbes JAPAN）

既報の通りグーグルは、ハッカーがGmailアカウントにアクセスしており、多数の「侵入成功」の背後に漏えいしたパスワードが存在することを認めた。しかし、今対処すべき別の警告もある。それは、アカウントを安全に保つために大半のGmailユーザーがパスワードを変更しなければならないという点だ。 今月、グーグルが自社で利用するSalesforceのデータベースがハッキングされたことで、「25億人のGmailユーザー全員が危険にさらされている」との多数の警告が出ている。また、グーグルのサポート担当者になりすます詐欺師が、グーグル自身の「AIによる概要」、Google AI Pro以上の契約者向け「AIモード」を利用し、メールや電話でアカウント保有者を狙っているという最新の報道もある。 これらのハッキングや警告の前にも、グーグルはすでに大多数のアカウント保有者に対してアカウントのセキュリティ強化を促していた。具体的には、SMSではない形式の二要素認証を用いること、さらに重要なこととして、アカウントにパスキー（Passkeys）を追加してそれを既定のサインイン方法にすることである。 しかし、多くのユーザーはいまだアカウントにパスキーを設定しておらず、依然としてパスワードに頼っている。せいぜい簡易的な二要素認証（2FA）を併用している程度である。これらの攻撃はすべて、パスワードを盗む偽のサインインページへと誘導し、ときには追加の手順で二要素認証コードの提供をだまし取るか、その必要性自体を回避させる。

■今年に入ってパスワードを変えていないなら、今すぐ変更すべき 強力でハッキングされにくいパスワードの作り方については、別記事で詳しく読むことができる。しかし、最近のアマゾンやペイパルへの攻撃が示すように、強力なパスワードを設定せず、そのパスワードを複数のアカウントで使い回しているなら、深刻なリスクにさらされる。 グーグルによれば、ユーザーのうち「定期的にパスワードを更新している」のは36％しかいない。つまり、大多数のユーザーは今すぐパスワードを更新し、その後も定期的に更新する必要がある。パスキーを追加して既定に設定することは極めて重要だが、マイクロソフトが示唆するようにパスワードを完全に廃止しない限り、パスワードによるアクセスはアカウントの根本的な弱点のままである。 今年に入ってGmailのパスワードを変えていないなら、今すぐ変更すべきだ。新しいパスワードの作成と保存にはChromeや他のブラウザーに組み込まれたものではない独立型のパスワード管理アプリを使い、そのうえで二要素認証を認証アプリ方式に切り替える。 ●パスキーも設定を推奨 もちろん、パスキーをまだ設定していないなら追加する。そして、そのパスキーの使用を厳格に徹底する。パスキー対応の端末でサインインウィンドウがパスワードの入力を求めてきたら、それは危険信号である。また、リンク経由のサインインは、たとえそのリンクがグーグルからのものに見えても決して行ってはならない。 サイバーセキュリティおよびパスワードに関する情報源 ・インターネットの安全・安心ハンドブックについて（国家サイバー統括室などが配布） 信頼できるパスワード管理アプリ ・1Password（Android版／iOS版） ・Bitwarden（Android版／iOS版） 信頼できる認証アプリ ・Bitwarden Authenticator（Android版／iOS版） ・Google 認証システム（Android版） ・Google Authenticator（iOS版） ・Microsoft Authenticator（Android版／iOS版）