パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Googleが分析結果を発表、「秘密の質問」には根本的欠陥。」記事へのコメント

  • Printable is bad. が2015年5月22日、スラド上で Google アカウント復旧 [google.com]には根本的な欠陥があるという研究結果を発表した(今見てるこの記事です)。

     

    Printable is bad. は、TATSUO IKURA 氏による調査結果(Gmailのパスワードを忘れた場合のリセット方法) [ajaxtower.jp]を参考に、Google 社の パスワードアシスタントシステムの動作を分析した。その結果から、「Google アカウント復旧」は根本的な欠陥を抱えているとの結論が得られという。

     

    根本的な欠陥とは、攻撃のターゲットとなる人物の同級生・同僚・知人・恋人・家族などであれば、ほぼ確実にアカウントを乗っ取ることが可能である、という点。わずか数分間、本人が携帯電話やスマホを手放した隙に、確認コードの不正入手が可能であり、しかも確認コードの不正入手を行ったことがターゲットにバレる恐れも殆どない。

     

    具体的な手順としては、ターゲットとなる人物がスマホを手放している時などに、自動音声通話による確認コードの送信 [ajaxtower.jp]を実行するだけである。あとは、非通知の電話がかかってくるので、電話に出て6桁の確認コードを聞き取り、暗記するだけ。確認コードがあれば、新しいパスワードを設定して、アカウントを乗っ取ることが可能である。SMS と違って非通知の着信履歴以外の記録が残らないので、ターゲットに怪しまれる心配も殆どない。

     

    特に 若い女子の80%くらいは非防水の iPhoneを使っている [appmarketinglabo.net] ので、iPhone がシャワールームに持ち込まれる心配も無い。ホテルでシャワーを浴びている最中に、Google アカウントを乗っ取り、内緒のメールをチェックすることだって可能である(ロックがかかったスマホであっても、掛かってきた電話を受けることが可能である)。

     

    Googleアカウント作成時の質問に対して(覚えやすい)偽の答えを登録しようとするユーザーもいる。電話番号を「42731(しになさい)」などとするような例だ。しかし、こうした試みはすぐに失敗に終わる。Google アカウント作成時の電話番号に Googleから自動音声電話やSMSが来るからである。この結果、得られた確認番号を入力しなければ偽の電話番号登録は成功しないからだ。

     

    Printable is bad. は、Google アカウント所有者に対して、「電話番号」を Google アカウントに登録することを考え直すべきだと述べている。そしてアカウント復旧のための本人確認にSMSや自働発信電話などの手段を利用することは避けるべきだ、としている。

     

    なお、最近ではGoogleアカウントの取得に携帯番号登録が強制されることが多い [myu-zin.com]ようなので、そういった場合にはスマホ(LTE回線)や会社のパソコンなど別の環境で再度試してみることをお勧めしたい。ちなみに、Cookie を定期的に消したり、トラッキングを拒否したり、広告ブロックをしたりするなど、Google にとって都合が悪い行為を行っている環境では Google アカウントの取得に携帯電話番号登録が強制されることが多いようである。これは、トラッキングで過去の行動履歴を分析できないユーザーはロボットである可能性が高いという根拠に基づいているらしいが、トラッキングを拒否しようとするユーザーに対してアカウントと携帯番号番号を紐づけることで強制的にトラッキングを行いたい(効率的な広告配信に利用したい)というGoogleの陰謀であるといえる。

    • by Anonymous Coward

      これは興味深い話だな。
      すると、音声通話の無いSMS対応SIMでロック画面にメッセージ内容を表示させない運用なら対策になるのかな。
      スマホの番号では登録せずに、タブレットに差したSIMでアカウントを取得する。

    • by Anonymous Coward

      ひとつの可能性として知識に加えておくことは大いに意味があるけど、
      身内の犯罪に無防備になっちまうのはもうしょうがねえんじゃねえかなって気もする。
      身近なだけにリスクも高い。乗っ取られの事態はすぐに気付くし、端末の履歴も残る。犯罪でもある。
       
      とはいうものの、ハックされて復旧用の情報を変更されてしまうと、通常の復旧手段を完全に喪失してしまうのは恐ろしいな。(そうなのか?)
       
      しかしこれ、赤の他人の予備連絡先の一部が分かるのな。 @yah**.**.**なんて十中八九アレやんかw

      • by Anonymous Coward

        一時的にでも盗難されたらアカウントを乗っ取られるってことなんだから、身内に限らないのでは。
        てかこれ本当だったらかなりやばくないか?

    • by Anonymous Coward

      Printable is bad.さんのコメントと,タレコミの話には,決定的に違う点があります

      それは,googleの方は,数億件の実データを分析して,数値で客観的は事実を明らかにしている点です
      Printable is bad.さんのほうは,まだ証拠を示してないので,仮説にしか過ぎない.

      そんなこと誰でも知っていると言い張るのは簡単で,誰にでもできます.
      googleの研究のキモは,みんな薄々気がついてたことを,実際に数字で示した点です.これは google ならではの成果で,素人には真似できません.

      • by Anonymous Coward

        これは(他人の秘密の質問の答を調べるような行為が平然とできる)google ならではの「成果」で,素人には真似できません。
        確かにそうだと思います。

    • by Anonymous Coward

      やっぱ 挟むくらいしか行を空ける方法がないのね。

    • by Anonymous Coward

      一年くらい前に
      https://accounts.google.com/signup?hl=ja [google.com]

      から電番無しで作れたけど
      もうだめになったの?

      参考 http://okwave.jp/qa/q8729407.html [okwave.jp]

      •  昨日試したときには、携帯電話番号の入力無し、現在のメールアドレスの入力有り、画像認証を行う(スキップ無し)の状態で、ブラウザ終了時に Cookie を自働削除にしている、普段使っている広告ブロック無しの Firefox ブラウザから「tokyo.ocn.ne.jp」のリモートホストで試してみたところ、携帯電話番号の入力が要求されました。その後、リモートホストの変更、ブラウザの変更などをやっても携帯電話番号無しでは作れませんでした。US版のGoogleだと無条件にOKという噂もありましたが、駄目でした。

         

         その後、docomo の LTE 接続、Cookie 消去済みの Opera ブラウザ(Android)で、数分間 Google 検索やブラウジングを行った後、アカウント作成を試みた結果、携帯電話番号・メールアドレスの入力無しでの新規アカウント作成に成功しました。

         

         携帯電話番号の入力無しでのアカウント作成は、成功する場合もあるし、失敗する場合もあるようです。Google のことだから、様々な条件をポイント化して複合的に判断して、携帯電話番号無しで作れるかどうかを決定しているのだと思います。

        親コメント
        • by Anonymous Coward

          > Cookie を自働削除
          なんで最近こんなに労働が流行ってんの?

        • by Anonymous Coward

          Win7でVPNソフトのTunnelBearを場所カナダ(米国だとサービス停止中の画面に遷移して取れなかった)にして
          IEで先のURLから
          携番無しで今やっと取れました

          ありそうな氏名にしないとだめっぽい

          あとTorBrowserでも試したがreCapture?がどうしても通らなかったw
          あんなの読めないw

          FF系ブラウザだと文字なのか?
          IEだと数字3桁の写真なんですがw

          • by Anonymous Coward

            あ、メルアドはm.kuku.luの捨てアドを入れました

    • by Anonymous Coward

      何このサイト人がコメントで教えてあげたのに自分だけガメて
      共有する気ないんだ
      じゃ俺も二度と教えないw

      • by Anonymous Coward

        と思ったら入ってたw
        失礼しますた

    • by Anonymous Coward

      >ホテルでシャワーを浴びている最中に、Google アカウントを乗っ取り、内緒のメールをチェックすることだって可能である

      待て、ホテルで女の子と同室しているという、その前提は妥当なのか。

    • by Anonymous Coward

      確認コードの発信先が盗んだスマホ(≒googleアカウント認証済み)前提になってません?モノは1つでも、2要素認証の2要素とも盗まれているように見えます。

物事のやり方は一つではない -- Perlな人

処理中...