MENU
見栄を張らない、背伸びをしない。 私はただの阿呆です。 嘘です。 since 2012.10.17.
  1. ホーム
  2. 雑記
  3. Gmailのパスワード変更すべきだ記事のセキュリティリスク煽りを見て

Gmailのパスワード変更すべきだ記事のセキュリティリスク煽りを見て

雑記

SNSでこんなニュースが回ってきた。

グーグル、Gmailユーザーの大半が「パスワードを変更する必要性がある」と認める | Forbes JAPAN 公式サイト(フォーブス ジャパン)

これはなんだか、Googleが漏洩!25億人のユーザアカウントが危ない!今すぐPW変更MFAパスキーでもやっぱりメールはGmail!というなんだか不思議な記事だった。特にGoogleから詫び石もらった覚えもないなぁと思いつつ適当に流していたが、その後Google激おこの続報などもあり、フォーブスはシュンとなってお詫びと訂正をしている。

グーグル、Gmailのデータ侵害警告のニュースは誤報と断定 | Forbes JAPAN 公式サイト(フォーブス ジャパン)

なんとも滑稽な話である。

目次

Googleは何をやらかしたのか

記事によると、Googleがやらかしたのは以下のことだ。

今月、グーグルが自社で利用するSalesforceのデータベースがハッキングされたことで、「25億人のGmailユーザー全員が危険にさらされている」との多数の警告が出ている

実害としては、Google内で利用しているSalesforceのデータベースがハッキングされた、影響範囲は最大25億人、ということらしい。そしてこの部分は、続報によっても別に否定されているわけではないらしい。

ただ、この記事を読んだ時点でも思ったが、それで即パスワード変更しないといけない、というのは繋がらないように思えた。確かに詐欺師がなんらかの情報を得た可能性はあるのだが、まさかパスワードが平文で見られるようになったわけじゃなし。

せいぜいフィッシング詐欺の顧客リストに加えられるくらいだと思うが、実際想像してみて、メールアドレスとハッシュ化された25億のリストなんかもらっても、困るんじゃなかろうか。

この引用文は以下のように続く。

また、グーグルのサポート担当者になりすます詐欺師が、グーグル自身の「AIによる概要」、Google AI Pro以上の契約者向け「AIモード」を利用し、メールや電話でアカウント保有者を狙っているという最新の報道もある。

これは先の文章と繋がっているようで繋がっていない。まったく別の事象である。つまり、今回の件があろうがなかろうが関係なく起きていることだ。また相互に影響しているかというのも、先述したとおり、25億のリストがあったからといってなんだ?であり、甚だ怪しい。

僕自身は脱Gmailなんて記事も書いているくらいなので、Evilの帝王Googleに対しては反発心も強い。

あわせて読みたい
趣味としての脱Googleその4 Gmail編:「技術的には可能です」……けど 去年からボチボチ始めている脱Googleの試みだが、今回は俺たちのGmail。 さて、このGmailだが……理屈のうえではもっとも使わないのが容易な部類に入る。ので、やるかどう...

それでもこの件に関しては、警戒のギアをあげる論理的な理由がないと思ったので、記事を読んだ後もなにもしなかった。脱Gmailしてないのか?そうすぐにできんのだよ……。

どこまで真面目なのか

個人的にこの記事には引っかかるところがあった。というのも、セキュリティリスクの警鐘を鳴らすものとして典型的な意味不明さがあったからだ。

まず繋がっているのかいないのかよくわからん事象を並び立てて恐怖を煽る。そしてPWの変更が必要だ、ローテートせよ、MFAの設定をせよ、パスキーの設定をせよ!と喧しい。

それはいいんだが、まず思うのは、「そこまで警鐘を鳴らす必要があると考えているにもかかわらず、Gmailを使うなと言わないのはなぜか?」ということだ。また、MFAだのパスキーだのと言う前に、「怪しいリンクを開かないようにしようね」「個人情報を入力する前にそのサイトでやっていいか確認しようね」という当たり前の警戒がまずなくてはいけないのだろうか。

「ここから先はデンジャーなスラムだぜ!ここで財布を出すときは絶対防弾チョッキを着てくれよな!」ではなく、そもそも「ここから先は危険だから入らない方がいい。入る必要があるなら、くれぐれも気をつけて行動してくれ。不用意に隙を見せるなよ」ではないのだろうか。

まぁデジタルの世界でスラムは偽装されていることも多々あるために、このアナロジーが直接適用できるわけではないにせよ、兎にも角にも、人の意識が一番大事だ。必ずトリガとなる行動を、その人はしているんだから。

だいたい、怪しいサイトでホイホイ個人情報を入力するがMFAパスキー完璧パスワードローテートは日課です、という不可思議な人類はいったいぜんたい存在するのだろうか?わけがわからんよな。

つまり、本当に危険だと思っている割に根本的な提言をしないし、彼らの言うとおりの人物像を想像すると、100のパスワードを操るがフィッシング詐欺には無防備な間抜け、という謎めいた設定になるので、いったいどこまで本気なのだろうか、と思う。現実的に、彼らが欲しいのはただただPVなんじゃないのかね……。

まずは右見て左見て

今この瞬間をAmazonを名乗る謎のドメインから「あなたのAmazonアカウントが凍結されました」だの「27歳人妻寂しいです」だのと言った愉快なメールが飛んできているのは事実なので、警戒が必要なのはそうね。でもその警戒の仕方として重要なことは、MFAとかパスキーとかいうことではなく、それ以前の問題として、まず送信元のドメインを確認したり、ブックマークから飛んで確認したり、27歳人妻に会いに行かないようにする、という当たり前の作法だ。

何をしたところで、フィッシング詐欺ですべての情報を送信する間抜けを助ける仕組みなんかない。あったとしても、フィッシング詐欺には引っかかるけど技術トレンドは最新という、わけのわからんペルソナを設定すべきじゃない

当たり前の警戒をしよう。それは小難しい設定でも最新の技術でもなく、まずは右見て左見るっていう、それだけの話なんだ。

この記事をいいなと思っていただけた方、よければ高評価・チャンネル登録……はないので、コメント・SNSでシェア・ブックマーク、RSSフィード登録を、よろしくお願い致します。

雑記

関連記事

コメント

コメントする

目次