Android, PC・IT

googleアカウントハック

 さて、真面目な話には(いつもの)くだらない前置きは入れ辛いなぁということで割愛して。

 実は先日、googleアカウントハックを喰らいまして。
 経緯としては、
  • (深夜に非通知の電話が掛かってきた)
  • 翌日、最近使ってもいないgoogle walletからのアカウント停止のメールが来た
 今思うと電話はgoogleからの確認だったのかもしれないけど、何故深夜。たまたま電源を切っていたので出られず(どうせ無視or気付かなかったろうけど)。

 調べてみると、
  • 数日前に(自分には興味すらない)課金ゲームのコインが購入されていた
  • セキュリティチェックに弾かれたようでキャンセルとなり支払いは発生せず
  • それに関するメールは一切なかったため気付かず
  • 後日walletアカウント停止、ここで初めて気付く
 また、
  • アカウントアクテビティに普段使ってないIEでのログインが一回 (国内のたまたま実家と同地域から=チェック素通り?)
  • google playの登録端末に見慣れぬタブレットが追加済み (何故かアクティビティログには出てない)
  • (gmailのアクティビティログは過去10件という役立たずのため確認不能)
 明らかにアカウントハックなので、こりゃあかんと諸々対策。
  • 速攻でパスワード変更、諸々あってやめていた二段階認証を導入
  • (他のサービスのパスワードも慌てて変更)
  • しかしその数日後にgoogleアカウント自体が停止される
 またか?とビビったけれど、単に「walletが怪しい→wallet停止→アカウント全体停止」のタイムラグだろうと思う。その後もまだ様子見だけれど、特に問題なく経過中。

※ログ画面くらい貼ろうかとも思ったけど、よくある話だし、ハカー様にどんな情報が抜かれたか分からない以上、「ああこいつか」とわざわざ蒸し返して情報を紐付けるような真似をしてもしょうがないなと。やめときました。
追記:どう考えてもheartbleed問題の被害だなと。無作為に狙われる危険性があったよう。(参考
・ハック原因?
 勿論最初に疑うべきはパスワード使い回しの問題。
 恥ずかしながら流用ゼロとは言えなくて。ただ、そもそもgoogleアカウントが狙われやすいのは明白なので、極力分離は心掛けてはいた。
  • メールアドレスがIDのサービスではhoge@google.comは極力使わないようにしている
  • (googleメアド+パスワードの組み合わせで言えば流用は0に近かった筈)
  • 危ないサービスほどパスワードを別にはしている
  • 勿論パスワードは大小含む英数字で、自分以外には意味の分からない記号列
 但し、元々使い回ししまくっていたパス(記号列を幾つも覚える自信がなく、、)を徐々に分離させていった経緯があり、「google側を変えると再設定箇所が多くて面倒」という理由から、ついつい他を変えていくやり方になってしまっていた。このため「最近使ってないサービス」の変更が甘かったと言えばそう。
 またgoogleメアドは使ってないと言っても、アカウント名部分は他と同じだったりもするので、それで流用アタックされた可能性も0ではないのは何とも。

 という訳で言い切るにはかなり弱いけれど、ただ可能性は低いというか、余所で取られているならそちらが先に問題にならないか?というレベルだと思う。

 それに、ネット上を見回すと「二回も取られた」とか「二段階認証すら突破された?」とかポロポロ出てくるので、多分何かしらの穴があってハッカーに遊ばれてるんじゃないかとは思う。
 まぁ何で自分のアカウントが対象になったのか?という点は謎だけどね。それこそ何処かからのメールアドレス流出かなぁ?くらい。


・被害に気付くまで
 そもそも余所から新規ログインされて、端末登録までされて(ただここがアクティビティに載ってないのがよく分からず)、不正決済までされて。これらの通知が一切ないまま経過したのが、発見が数日も遅れた理由でもある。
 これらに最初からgmail通知の一つでもあれば、その時点で気付いて素早い対応も出来たものを。設定次第なのかと思ったけれど、特にそこまで弄れるようでもなかった。facebookなんざ頼みもしないのにうざったるいまでに送ってくるというになぁ(おかえりなさいが嫌でログインできない人(ぉ))
 まぁハック操作をされていた期間のメールが残らないようにされていた可能性がないとは言えないけれど。(pushで流れてしまうだろうし、可能なのかは知らず)

 取り敢えず記録には残っていたログインアクティビティに関して、他に動向がないか度々チェックするようになってしまった。


・実被害
 金銭的な被害は今のところ確認されておらず。
 アカウントハックは今に始まった話題でもないので、特にお金の絡むwalletでは慎重になっているのだろう。弾いた時点でメール寄越せよって思いますが、、。

 アカウントハックで問題になるのはそこからの情報流出、およびスパムの踏み台化。
 ただこの点、「こんなこともあろうかと」とばかりに前述のようにgoogleアカウントでは殆ど他のサービスと繋げていないので、ここから取れるマズい情報と言えば、正直連絡先くらい。それもまぁお察し下さいということで(ぉ)。仕事絡みもほぼ電話番号しか入れていないし、スパム問題もこの時点でまぁ起きても少数だと思う(今のところ何も言われておらず)
 そもそも過去二度もサービスを潰された時点で「使い捨てサービス業」だとしか思っていないし、そうでなくても世界的超巨大企業に丸々情報を渡すのはあまりにも無防備すぎる。
 更に今回の件で、gmailを仕事に使うことは現状100%なくなったと思う。(将来のことは分かりかねますが)

 という訳で、いざ乗っ取ってみたものの、「ろくな情報がない」わ「他サービスにID/pass流用も出来ない」わで、あまりにも使いものにならないアカウントだったと。
 だから「わざわざハックまでしたのにしょうもないゲーム課金ひとつで終了」といった顛末に。
 まぁ、多分googleの穴の情報がハッカーコミュニティに流れてて、それを試したついでにちょっと遊んでみた、ってのが実際なのかなと思う。
 むしろそれ以上の悪戯、たとえばアカウント削除とかをされなくて良かったと思う。他人様には役に立たない情報の山とはいえ、流石に消されるのは困る。


・認証あれこれ
 そもそも随分前に導入されていた二段階認証を使わなかった理由として、当初はまだ使い勝手が悪かったため見送ってしまっていた。それも今では大分改善されたようなので、改めて設定し直した。

 当初の問題は、日本国内ではSMS対応がイマイチな点。SMSと言いつつも実際は携帯キャリアメールにしか対応していないようで(※)、bmobileに移行済みの自分は対象外。音声通話は流石にクソ面倒くさい。(※但し他の箇所でSMSが使えているケースもある。何だそれ)
 またこの認証方法は、「携帯電波の届かないところで詰む」という大問題がある。その点は「使い捨ての10個のコード」を印刷して取っておくというアナログな選択肢もあるにはある。但しそれはそれで「パスワードを付箋メモで残すオッサン」と大差無い行為はどうなのかなと躊躇してしまうところ。

 これはgoogleも認識しているようで、その後になってgoogle認証システムというものが導入されていた。
 これは指定端末(一つ?)と紐付けてそちらで30秒のみ有効なワンタイムパスワードを生成(表示)させるシステム。まぁスマホを取られたらパァか、付箋を見られたらパァか、といったところ。落とし所としては悪くないと思う。早速導入させて頂いた。

 また二段階認証化にあたって、外部アプリの対応も必要。
 自分はK-9mailでgmailにもアクセスしているけれど、こういった外部アプリは二段階認証に対応していないと使えない。そこでアプリ用パスワードを別途生成する必要がある。詳細はこの辺などで。

 以下余談みたいなものだけれど。
 一つ厄介だったのは、「認証アプリを入れた端末自身の再認証が面倒」という点。(パスワードを変えた時など起こりうる)
 S4+他のホームアプリの構成だからというのもあるかもしれないけど、Androidシステムの認証画面(コード入力画面)から、一度認証アプリを立ち上げて戻ってくるところでつまづいた。
 普通に考えて「homeボタンで戻ってドロワー等からアプリを立ち上げて、コードを見て、入力画面に戻る」、この操作を行うにあたって最後の「戻る」術がない(タスクスイッチに出てこない?)。
 認証アプリ画面をタップしたらコード入力画面に移ったケースが一度だけあったけど二度の奇跡は起こらず、足掻いている内にたまたま認証画面に飛べた、という他ない(苦笑)。バックグラウンド同期で度々認証失敗通知が出てくるので、その通知の内の一個を叩いて戻った、とかじゃなかったかな、、。
 これを回避するには入力画面からhomeを介さずに直接認証アプリを立ち上げて終了、直前のコード入力画面に戻る、とするしかないんじゃなかろうか。通知領域・クイックコントロールの類を上手く使って呼べるようにしておかないといけない。
 自身の再認証はそうそうやることではないけれど、一応要注意。


・その後のトラブル
 最初の経緯で書いたけど、一度パスワードを変更、二段階認証設定を施して一段落した数日後、改めてgoogleアカウント自体が停止されてしまった。
 まぁwalletアカウント停止から全体アカウント停止までのタイムラグがあったということだとは思う。調べると同じような罠に嵌った人がいた。
 システム的にはしょうがないと言えばしょうがない。途中の「セキュリティ設定を変更した」のも誰によるものだか分からないからね。しかしまぁビビりはしますよと。本当にもう何もないのかと。
 今のところは大丈夫、だと思う。

 しかしアカウント復旧時に再度パスワードを変更した筈なのに、元のパスワードしか受け付けなかったり(変わってない?)、それでいてアプリ用個別パスは幾らやっても受け付けられない状態で、どうにもおかしいので、結局再々度パスワードを変更して全てやり直す羽目になった。
 この辺は、「一言でgdgd、二言で時間の無駄」と愚痴らざるを得ませんでしたよ(苦笑)。

 あと、今現在、walletアカウントは復旧していない。(10日以上経過)
 結構時間が掛かるようなので、よく決済している人は大ダメージだろうね。

※追記:
 20日以上経過して、放置されている匂いがプンプンしてきたので改めて催促してみたらすぐに復旧しましたよ。
 そもそもの流れが分かり辛くて、
  wallet凍結メール→復旧手続き→再度凍結メールが「2つ」
 単にシステムの入れ違いで前後して届いたメールなのかどうかも判断し辛く、メールにも次の具体的な指示は無し。googleアカウントのパスを変えろ等はあるものの、walletに関しては改めての凍結通告のみ。これではこちらもステータスが掴み辛く、元々時間が掛かる情報もあったため様子を見るしかなかった。が、結局はその凍結メールをもってgoogle側の対処は終了してしまっていた模様。実に分かり辛い。
 勿論、その旨苦情としてコメントにしたためておいたためか(笑)、速攻復旧してくれた。
 件の課金処理は、やはりgoogle側で判断してキャンセルしたと書かれておりました。
 といった訳で、「googleアカウントはいつ取られてもおかしくないので気を付けましょう」と改めて。
 先日、親にNexus7を贈呈してきたけれど、面倒というか素人には分かり辛いのを承知で二段階認証を導入させざるを得なかった。親父なら何とか理解してくれることを願ってはいるけれど、正直混乱してしまわないか不安でならない。
 下手にクレジット登録はさせないで、ギフトカードを使うように勧めておこうかな。

 そもそも、ログインされたらもうplayの決済まで一直線、というのがどうにも好かない。そこに別の門を設けさせてくれと思うのだけれど。たまーーーーにしか決済しない身としては特に。毎回クレジット登録・削除は流石に面倒なんで。
 まぁamazonとかにも言えることではあるんだけどね。複雑にする=導線の妨げだから、トラブった時に対応する方が早い、って発想なんだろうなぁ、今はまだ。

#書きそびれ追記:
 walletの決済問題に限らず、他にも例えばdriveでファイルを置いている人もいると思う。
 自分は旧来のdropbox派なのでdriveには殆ど何も置いてないけれど、dropboxでも重要なファイルは個別に暗号化するなどしている。それでも安全とは言えないけれど、少なくとも初歩的な被害を防ぐことはできる。
 要するに、「障壁をもう一つ置くこと」、これは重要だと思う。
 今はログイン一発で全ての横断が可能になってしまっているけれど、mail,drive,wallet等々、何にしても物事の重要性には個体差・個人差があるもので、そこに個別の門の設定も必要なのではないかと。改めて思うところ。