Google の 2FA 推進プロモーション:1.5 億人が追加されセキュリティが向上

Google sees 50% security boost for 150M users after 2FA enroll

2022/02/08 BleepingComputer — Google は、可能な限り多くのアカウントにおいて、2要素認証 (2FA) を自動的に登録する取り組みを加速させ、2FA を有効にするユーザー 1億5,000万人を追加したと発表した。Google は 2021年5月に、漏洩した認証情報や推測されたパスワードの悪用によるアカウント乗っ取り攻撃から、可能な限り多くのアカウントを保護するための広範な取り組みの一環として、すべてのユーザーに 2FA の使用させることを発表した。

その数ヵ月後の 10月にも、Google は 2021年末までに、少なくとも 1億5,000万人のユーザーに対して 2FA を実施する予定であると発表した。それは、Google ユーザーのアカウント・ハッキングの最大の要因である、覚えにくいパスワードや、フィッシング攻撃やデータ漏えいで簡単に盗まれてしまうパスワードを取り除くことで、アカウントの安全性を高めることを目的としている。

Google は、「昨年の取り組み以降、1億5,000万人以上が 2FA を自動的に有効にすることに成功し、さらに 200万人の YouTube クリエイターにも 2FA の有効化を求めている。この取り組みの結果、2FA を登録していない人に比べて、侵害されているアカウントが 50% 減少した。パスワードが漏洩した場合には、2FAを ON にしておくと安心だ。私たちの言葉だけを信じるのではなく、官民の多くが 2FA を支持していることを知ってほしい」と述べている。

デバイスを登録してセキュリティ・キーとして使う

Google によると、アカウントが 2FA に登録されるのは、移行のための適切なバックアップ・メカニズムが整備されている場合に限られるという。自身のアカウントで 2FA の設定が正しく有効になっているかどうかを確認するには、Security Checkup で利用可能なオプションの説明を受け、リカバリーのための設定を行うことで完了する。今すぐ 2FA に登録する場合は、ココにアクセスして Get Started ボタンをクリックすることで、Google アカウントのセキュリティを強化できる。

Google は 2020年1月に、iOS 10 以降を搭載した iPhone を、ペアリングを必要としない Chrome OS/iOS/macOS/Windows 10 デバイスでのサインインを確認するためのセキュリティ・キーとして、使用できるようになったと発表した。

また、Android 7.0+ (Nougat) 端末では、Android 端末に内蔵されているセキュリティ・キーの使用が一般化され、iOS ユーザーは、セキュリティ・キーとして設定された Android 端末を使って、Google/Google Cloud サービスへのサインインを検証できるようになった。

モバイル端末を Google アカウントのセキュリティ・キーとして設定する方法の詳細については、ココを参照してほしい。

なぜ多要素認証が重要なのか?

2021年8月に米国の CISA は、サイバー・セキュリティのバッド・プラクティスのリストに一要素認証 (SFA) を追加し、MFA を有効にするよう勧告した。多要素認証 (MFA) を有効にすると、大多数の脅威アクターによる攻撃が失敗し、ユーザーのアカウントを乗っ取ることが極めて難しくなる。

たとえば、Google/ニューヨーク大学/カリフォルニア大学サンディエゴ校の共同研究によると、MFA は自動化されたボットからの攻撃の最大 100% を、大規模フィッシング攻撃の 99% を、標的型攻撃の約 66% を阻止できるとされる。

また、Microsoft の Director of Identity Security である Alex Weinert は、「MFA を使用すれば、アカウントが侵害される可能性は 99.9% 以上低くなる」と述べている。

昨日に「Microsoft 警告:多要素認証 (MFA) 採用がエンタープライズで遅れている」という記事をポストしました。そこには、コンシュマーのケースでは、2017年が 28%、2019年が 53%、2021年が 78% が 2FA を使用しているが、Azure AD を利用している顧客となると、MFA 導入は 22% に過ぎないと記されていました。今回の Google 2FA 推進プロモーションで、この比率が上がったと推測されますが、そこらくコンシュマーの方なんでしょうね。なお、Google では 2-Step Verification (2SV) とも呼んでいるようですが、この記事では、とりあえず 2FA に統一して訳しています。

%d bloggers like this: