最近友人がGoogleのGmailアカウントを乗っ取られました。
どうやら、中国からのアクセスがあったようで、乗っ取った彼のアカウントでクレジットカードの不正な利用履歴があったとのこと・・・恐いですね。
危うく濡れ衣になるところでした。
その話の中でGoogleChromeの思わぬ落とし穴が発覚したので紹介します。
むちゃくちゃリスク高いやんけ(゚д゚)ってかんじです。
Gmailのパスワードが脆弱な人は絶対対応したほうがいいですよ!!
Chromeが危険な2つの理由
・GmailアカウントでChromeにログインできる
・入力履歴、パスワードがクラウド上で同期される
上記の2つが今回の危険な理由です。
まずChromeの仕組みを解説します。
GoogleChromeへログインして確認する方法
Chromeの設定画面をクリック
「Chromeにログイン」をクリック
ここでGoogleアカウント(Gmailアカウント)を入力するとログインが可能です。
何が危険なのか?
Chromeにログインすると、色々なデータが同期されます。
その中に「履歴」「パスワード」の2つがあることが危険なのです。
Chromeの中ではここで確認できます。
設定画面から「同期の詳細設定」をクリックします。
すると同期するデータタイプが出てきます。
デフォルトで全部チェックはいってますねー( ゚д゚ )
それで今回危険なのが、先程も言ったように下記の2つのデータです。
履歴:IDとか電話番号とかフォームに入力した履歴
パスワード:各種サービスのパスワード
この2つのデータが保存されていることで、普段はインターネットを利用するときにID、パスワードを覚えていなくてもChromeが自動的に補完をしてくれます。
こんな感じで自動的に入力されているのを見たことがあると思います。
ちなみにAndroid版のChromeアプリを使っている場合はそちらでも自動補完がされます。
※Android盗まれたらえらいことになりますね。
この履歴とパスワードデータ同期機能は、自分でIDやパスワードを覚える必要がなくなるので非常に便利です。
ただ、非常に便利なのがかえって高リスクになります。
それが今回のChromeが危険過ぎる理由です。
例えば自分のGmailアカウント、パスワードが漏れたら・・・・
あなたのGmailアカウントとパスワードが第三者に漏れたとします。
その第三者はChromeにあなたのアカウントでログインをしてしまえば、FacebookなどのSNS、銀行サイト、Webサービスなどの履歴とパスワードデータが使えてしまいます。
更にはブックマークも同期されているので、その人がどんなサービスを使っているかも丸わかりというおまけ付き・・・( ゚д゚ )
つまりGmailアカウントが乗っ取られるということは、すべてのサイトのID、パスワードが盗まれるということに等しいわけです。
((´д`)) ブルブル…
対策方法
①履歴、パスワードのデータを同期しない
先程の設定画面で、履歴、パスワードの同期データのチェックを外します。
これで入力履歴やパスワードが同期データの対象にならなくなります。
②同期データを暗号化する
同期データ自体にパスコードを設定することも出来るようです。
パスコードを設定すると、初めて同期データを利用するデバイスがあるときにはパスコードの入力を求める様に出来ます。
詳細な設定方法は下記のリンクが参考になります。
Google Chrome の同期を今よりもっと安全にする方法 | メチャセキュリティ・ドットコム
③Gmailのパスワードを強固にする
最後にこれ。当たり前ですが本家のGmailアカウントが乗っ取られないにこしたことはありません。
パスワードフレーズは英数字(できれば記号も)で8桁以上は最低でもクリアしましょう。
こうやって知らず知らずのうちにリスクを抱えていくのは恐いですね。
Chromeを使ってる人は是非確認してみてください。
ではまた!