アカウント乗っ取りの危険度トップはフィッシング、被害者のほとんどは事後も対策せず──Google調べ

Googleのユーザーアカウント乗っ取りに関する調査結果によると、最も危険なのはフィッシング、次がキーロガーで、週当たり平均23万件以上のクレデンシャル情報がフィッシングで盗まれていたという。

　米Googleは11月9日（現地時間）、米カリフォルニア大学バークリー校と共同で行ったアカウント乗っ取りに関する調査結果を発表した。

　2016年3月～2017年3月の1年間、盗んだ個人データが売買されているブラックマーケットやフィッシングとキーロギングに使われる2万5000件のツールを解析し、被害に遭ったGoogleアカウントの実態を調査した。その結果、クレデンシャル情報（IDやパスワードなどのログインに必要なデータ）の78万8000件がキーロガー（キーボード操作の内容を記録するツール）で、1200万件がフィッシング（なりすましによる詐欺）で、33億件がサードパーティーサービスへのセキュリティ侵害で盗まれたことが分かったという。

　件数が最も多かったサードパーティーへのセキュリティ侵害で盗まれたデータはGoogleアカウントと同じパスワードの再利用によるもので、パスワードのみの流出ではGoogleアカウントへの侵入はできない。ユーザーにとっての危険度が最も高いのはフィッシングであり、キーロガー、サードパーティー侵害の順としている。

　調査期間中、週当たり平均23万4887件のクレデンシャル情報がフィッシング経由で盗まれ、キーロガー経由は週当たり平均1万4879件だった。

　Googleはこうした被害を防ぐため、「Safe Browsing」や新しい端末からログインされたことをメールで通知する機能など、様々な対策を提供している。

未確認の端末からログインがあったことを知らせるメッセージ

　同社によると、被害に遭ったユーザー中、被害後に2要素認証などのセキュリティ対策を追加したのは3.1％にも満たなかったという。

　Googleは「われわれの調査結果は、クレデンシャル情報の盗難を取り巻く地下経済の世界的な可能性と、潜在的な解決策としてユーザーに対するパスワード管理と偽造不可能な2要素認証についての教育を強化する必要性を示している」と結論付けた。

- PR -