Gmailアカウントのフィッシング攻撃

Official Google Blogで取り上げられたこの問題、日本の各メディアでも取り上げられていますね。
ただ、その記事のタイトルが「Googleへの攻撃」といったニュアンスのものもあり、セキュリティに関する情報提供の難しさを感じさせられます。Official Google Blogでもあえて「Gmail自体のセキュリティの問題ではない」と書かれていますね。

今回の問題はGmailのシステムに攻撃が加えられたということではなく、一部のユーザーがフィッシングサイトに引っかかってしまい、フィッシングサイト上でGmailにアクセスするためのIDとパスワードを入力してしまったことが原因です。攻撃者はそのIDとパスワードを利用してGmailにアクセスし、メールの転送設定を追加することでメールの内容を盗んでいた、ということです。対象となったユーザーが米政府高官や中国の政治活動家などだったことから、特定の対象を狙ったものであることが推測できます。攻撃手法についてはこちらにまとめられています（今年の2月に報告されているものです）。

この問題に対して、Googleは2段階認証（ワンタイムパスワード）を使うことを推奨しています。この方法は今回のような問題の対策としてとても有効なものです。ただ、この設定は初心者にはちょっと敷居が書く（日本国内の場合はSMSを使った認証なども使用できないため、より条件が難しくなります）、広く普及させるのはなかなか難しいと思われます。

Gmailのようなフリーメールアカウントに限らず、各プロバイダから提供されるメールアドレスでもWebメールが提供されることが一般的になっています。どこからでもWebサイトにさえつながれば利用できるという利点もあり、特にライトユーザーがWebメールを多用する傾向が強いようです。セキュリティに関する知識をそれほど持ち合わせていないユーザーを対象にする場合は、セキュリティを向上させるために設定を変更させたり、手順を増やして対応させたりするのはあまり現実的ではありません。この問題、いろいろな企業システムでも同じように直面している問題です。

企業においては、システム側の対応を進めることはもちろんのこと、「怪しいメールは開かない」「怪しいリンクはクリックしない」「機密情報はメール以外の方法（または暗号化するなどの対策を取る）でやり取りする」といった基本的なユーザー教育を徹底するのが最初の一歩かな、と思います。攻撃するのも人間なら、身を守れるのも人間、ですもんね。