はてブでトップに来ていたサイトでしったが、
今Gmailの乗っ取りが猛威を振るっているらしい。
何が原因なのか、不明だ。
一部の人のツイートでは、公衆無線LANが原因ではということが示唆されていた。
セキュリティ意識が高く、フィッシングなどに引っかかりそうにない人々にも被害が出ている。
だから単なるフィッシングではないのだろう。
ましてや辞書攻撃に引っかかるようなパスワードにしていることもないだろうし、強度の弱いパスワードにもしていないだろう。
公衆無線LANであれば中継しているルーターなどに情報が残る。
httpsでないと盗聴され放題だ。
それを悪用されたのかもしれないが、それを使っていないという人もいるみたいだし、詳細はわからない。
もしかしたら新手のウィルスか、Google自体に脆弱性があるのかもしれない。
2段階認証
そのtogetterでも紹介されていたが、
やはり有効なのは2段階認証かもしれない。
2段階認証とは、googleに通常のログイン画面でログインをしたあとに
予め登録してあった携帯メールに認証コードが送られる。
詳しい設定のリンクをこの記事の末尾に書いておくので、まず設定をしたい人は一番したまでスクロールしてください。
通常のパスワードと、その都度発行される認証コードを二個入力しないとログインできない。
そして都度発行される認証コードは、本人が持っている携帯に送られるため
悪意のある第三者はパスワードを知っていたとしてもログインすることができない。
認証コードはメール以外にも、電話による音声案内もある。
指定した電話にGoogleから電話がかかってきて、音声でコードを知らせてくれる。
バックアップ電話とバックアップコード
携帯に送られてくる認証コードでログインをするというのは不安がある。
携帯が壊れたり、メアドを変更してgoogleの設定を忘れたらログインできなくなる可能性があるからだ。
そのためにバックアップ電話とバックアップコードがある。
メインで登録した携帯電話以外の電話にを登録しておけば、
メインの携帯が壊れているなどして使えない時に、バックアップの電話や携帯メアドにコードを送ってくれる。
僕は妻の携帯メアドと電話、家の固定電話、私用の携帯電話の電話番号を登録しておいた。
バックアップコードは十個分発行された臨時の認証コードで、1コードにつき1回使える使い捨て認証コード。
一度に10個発行されるので、もしもの時のために10個分を控えておいてある。
僕はそれを財布に入れておいた。
これで、googleのパスワードと都度発行される認証コード(もしくはバックアップコード)の2つがなければログインでき内状態になる。
Androidでの認証
当然、androidなどでの認証方法も変わってくる。
一度だけ入力するパスワードを発行して、それをAndroid側で設定をすると接続できるようになる。