海外における個人情報流出事件とその対応「Gmailリスク」（2）3月にもGmailアクセスを妨害

●問題が続くGoogleと中国
Googleと中国をめぐる騒動は継続的に起こっている。2009年12月には、Googleの社内インフラに中国から高度な攻撃が行われた。その結果、中国本土から撤退、香港に移動した。今年になってからも、中東で繰り広げられたFacebookなどを用いた反政府活動を受けて、3月にはGmailへのアクセスやメール送信を妨害したとされている。

中国政府は当然ながら、Google側の発表に反論している。6月2日、外務省のスポークスパーソンHong Leiが「Washington Post」に対し、「中国政府はサイバー犯罪活動に強く反対する」として、「（サイバー犯罪と）戦う国際社会と協力する用意がある」と表明している。Leiは「中国への非難は根拠のないもの」として、Googleによる非難は許容しがたいとの強い姿勢を示した。

プレスカンファレンスにおける記者の一人からの事件に関する質問に対しても、「中国政府がハッキング活動を支持しているという主張は、まったく事実無根」ときっぱりと否定。「中国は、ハッキングをはじめとするインターネットとコンピュータセキュリティの妨害行為に強く反対して、強固に取り締まりを行っている」という。そして記者に対して、ハッキングは世界規模の問題で中国のネットワークもハッカーの攻撃を受けていると説明。ハッカーによる国家のネットワークへの攻撃は、米国に限らないと反発した。

また、「中国政府はインターネットの安全に高い価値を置いていて、インターネットをモニターしている」と語った。中国政府が監視していると言っているのは、アダルトサイト、暴力などの有害サイトだが、実際は民主化を求めるなど反政府活動のサイトの検閲も行っている。

●検討が必要なWebメールのセキュリティ
事件では個人のGmailのアカウントからの漏えいということで、政府関係者のアカウントも狙われたものの、関係者が業務に用いるアカウントから漏れたわけではない。しかし、業務用のメールのGmailなどへの転送は一般的に行われている。そのため、どれだけの重要情報が流出したのか関心が集まっている。

Googleでは、ブログで状況を発表することでユーザに警戒を呼びかけた。セキュリティ改善のために、以下のような数種類の方法を紹介している。
・2段階認証プロセスを有効にする。Gmailログインの際、メールアカウントとパスワードを入力するだけでなく、認証コードとして携帯電話に送信されたコードの入力が求められる。今回の事件でも、2段階認証を利用していたユーザのアカウントは攻撃から逃れた。

・Gmailのパスワードは独自のものとして、他のサイトでも使用しているパスワードを使わない。
・ログインの際、ドメインがhttps://www.google.comであるかを確認する。（httpsはhttpにSSLによるデータ暗号化機能を加えているため安全性が高く、Googleではログイン画面にこのhttpsを用いている。httpsになっていない場合、偽サイトの可能性がある。）
・Googleではメールのメッセージでパスワードを質問したり、フォームにメールアドレスを記入して返送するようにリクエストすることはないことに留意するよう呼びかけた。（メールでパスワードを質問するのは、犯罪に使用するためと考えることができる。）
・Gmailの設定の転送とアカウントへのアクセス許可の設定をチェック。

Gmailへの攻撃が続いていることもあり、今回のGmailアカウントへの攻撃を最初に報告したParkourは、Webメールでの組織の極秘情報やデータのリスク、特に組織のメールシステムはセキュリティを強化して守っていても、スタッフが個人のGmailなどWebメールに転送する可能性がある。どのような状況で、スタッフが転送を行うのか例を挙げて、リスク理解を求めた。

1：アプリ、Googleドキュメントは、同僚などとプロジェクト用に簡単に文書共有ができるが、その利便性がリスクとなる可能性もある。
2：個人のモバイルデバイスなどでメールをチェックできるよう、業務用のメールをGmailアカウントに自動的に転送する（結果、Webメールから重要情報が漏えいする可能性もある。）
3：メールを送信するとき、その受信者が無料のWebメールサービスを使用することがある。受信者のアカウントを管理することができないため、この受信者から漏えいのリスクも理解する必要あり。

※本記事は有料購読会員に全文を配信しました

（バンクーバー新報　西川桂子）