パスワードを入力していなくても乗っ取られる
Googleアカウントは、パスワードを知られていなくても乗っ取られるケースがあります。その原因の一つが「セッション乗っ取り(Session Hijacking)」です。
ログイン状態そのものが盗まれると、認証は無意味になります。
セッション乗っ取りとは
ログイン後、ブラウザには「このユーザーは認証済み」という情報(セッション)が保存されます。この情報はCookieとして管理されています。
- ログイン後の状態を維持するための情報
- パスワードを毎回入力しなくて済む仕組み
どのように盗まれるのか
マルウェアや悪意のある拡張機能などにより、ブラウザ内のCookieが取得されるケースがあります。
- マルウェア感染
- 不正なブラウザ拡張
- 不審なファイルの実行
なぜ危険なのか
Cookieが盗まれると、攻撃者はパスワードや二段階認証を経由せずにログイン状態を再現できます。
- メールの閲覧
- クラウドデータへのアクセス
- 他サービスへの連携悪用
見落とされやすい理由
- ログイン通知が来ない場合がある
- パスワード変更しても無効化されないケースがある
- ユーザー側で異常に気付きにくい
今すぐできる対策
- 不要な拡張機能を削除する
- 怪しいファイルを実行しない
- 定期的にログインセッションを確認する
- 全端末からログアウトを実行する
まず確認すべきこと
現在のログイン状態や、どの端末からアクセスされているかを確認することが重要です。
サイト診断では、外部から見える設定やリスクの状態を確認できます。
出典
- Google Account Help(セキュリティとログイン管理)
- Microsoft Security Blog(Session Hijackingに関する解説)
- OWASP Session Management Cheat Sheet