グーグルが全Gmailユーザーにアカウントのアップグレードを推奨、その理由とは(Forbes JAPAN)
おなじみのサインイン画面が現れ、ドキュメントを開いたりメールにアクセスしたりするためにパスワードの入力を求められる――あまりに日常化しているため、私たちは無意識に操作を続けてしまう。だがグーグルは、こうした習慣は危険であり、放置すればアカウントを失いかねないと警告する。 グーグルによれば、Gmail ユーザーの大多数は依然としてパスワードや二要素認証(2FA)といった旧来のサインイン方式に頼っている。一方、FBIは「昨年のオンライン詐欺被害額は過去最高の166億ドルに達し、わずか1年で33%増加、しかも手口は一段と巧妙化している」と警告する。つまり攻撃に気づく頃には手遅れになりがちだ。 筆者がこの憂慮すべき統計を最初に報じた際、グーグルは「アップグレードの警告は正しいが、さらに踏み込む必要がある」と語った。問題はGmailにとどまらず、グーグルのサインインでアクセスできるすべてのアカウントに及ぶ。ただしメールは、他の多くのサービスへの入口となるため最も狙われやすい。 そして1カ月も経たないうちに、パスワードや2FAで守られたアカウントがなぜこれほど危険にさらされるのかを裏づける新証拠が浮上した。アイデンティティ管理企業 Okta(オクタ)は、攻撃者たちが「Vercel(ヴァーセル)が開発した画期的な生成AIツールv0(ブイゼロ)を悪用し、正規のサインインページを模倣したフィッシングサイトを生成している」と警告している。 グーグルは「サインインをできる限り簡単に保ったまま、パスワードを完全に過去のものにしたい」と表明する。その鍵となるのがパスキーだ。パスキーは利用者のデバイスに紐づき、盗難や迂回が極めて難しいため、攻撃者のアクセスを阻止する。ところが多くの Gmail ユーザーはまだパスキーを設定しておらず、速やかな導入が求められる。 Oktaは、これは「攻撃者たちがシンプルなテキストプロンプトから実用的なフィッシングサイトを生成できる段階へ進化した、生成AIの兵器化の新局面を示す」と指摘する。パスワードを使い続ける限り、リスクは残る。 パスキーでアカウントを強化しても、ユーザー側の行動が従来どおりでは効果が薄い。パスワード入力を求められても応じず、パスキーのみを使用すること。どうしてもパスキーが使えない場合は、SMSコードではなく認証アプリなど別形式の2FAを設定すべきだ。 Oktaはさらに前述のように「今日の脅威アクターは主要な生成AIツールを積極的に試用・武器化し、Vercelのv0.devのようなプラットフォームを使って高品質で欺瞞的なフィッシングページを高速かつ大量に作成している」と警鐘を鳴らす。 パスキーはフィッシング耐性が高い。このためマイクロソフトはグーグルより一歩先を行き、ユーザーにパスワードの削除を促すとともに、自社の『Authenticator』アプリからもパスワード機能を撤廃し、今後はパスキー専用に切り替える方針を示している。 これはAIを利用した新手の攻撃の幕開けにすぎない。攻撃者は新ツールを駆使し、状況は急速に変化している。主要なアカウントを完全に保護する措置は「そのうち」ではなく「今日」講じるべきだ。 グーグルは「高度で自動的な防御機能を製品に直接組み込んでいるため、ユーザーがセキュリティを意識する必要はありません」と説明する。しかし、依然としてパスワード、すなわち脆弱な安物南京錠のデジタル版で守っているなら、攻撃者の思うつぼだ。 設定はここから直接行うことが可能で数秒で完了する。 今すぐパスキーを追加しよう。
Zak Doffman