管理人のもとに、深夜Googleのシステムから?送られたと思しき身に覚えのないメッセージが届いていました。

メッセージには「G-XXXXXXがあなたのGoogle確認コードです。」とのみ書かれた不審な内容です。

メールが届いたのはiPhoneで使っている電話番号であり、Googleのサービスには登録したことがなく、Googleから確認メールが届いたのも初めてのこと。

真夜中に届いたのでびっくりしましたが、管理人の電話番号をどうやら誰かが間違えてGoogleアカウントに登録してしまったようです。

Google(Googleアカウント)では、普段はメールアドレスとパスワードだけを使って各種サービスへログインすることができますが、電話番号を登録することでセキュリティを高めたり、利便性を向上させる事が出来ます。

今回送られてきた「Google確認コード」は、一般的に普段と違う環境からログインされた場合・2段階認証の初期設定時・ログイン時に発行されるもので、通常のGoogleのメアド+パスワードに追加して、指定した電話番号宛に送られる「Google確認コード」を入力しなければGoogleサービスにログイン出来なくなるようにするものです。昨今ではさまざまなサービスからメールアドレスやパスワードの漏洩が相次いており、ログイン情報の使い回しによって多くのサービスで乗っ取り・詐欺が発生したりと社会問題化していますので、電話番号登録追加により二段階認証はとても重要です。

過去にドコモではdアカウントの乗っ取りにより、iPhone Xが1億円分以上不正購入されてしまうという事件も発生しました(ドコモから情報が流出したのではなく、他から漏洩したアカウントとパスワードの使い回しが原因だったはずです。また、犯人グループは後に逮捕されています)。その後、ドコモではセキュリティ強化対策が行われ、オンライン購入時にdアカウントの二段階認証設定が必須化されました。

関連記事:ドコモオンラインショップでiPhone不正購入被害? 考えうる被害と対策/2段階認証設定方法

参照:Google アカウントヘルプ-2 段階認証プロセスでのログイン方法

しかし、肝心の登録する認証用電話番号を間違えてしまうと、誤登録した電話番号の本来の所有者にメールアドレスが知られてしまうことがあります

Googleの確認コードが送られてきた直後、さらに「パスワードの再設定のリクエスト」を行った旨がGoogleからメッセージで送られてきていました。おそらく、二段階認証の画面で「確認コードをXXXXXXXの番号の送信しました」といった表示を見て番号が間違っていたことに気付き、パスワード変更を実施しようとしたのでしょう。

しかし、この時点で、パスワード変更を行う対象のメールアドレス(Googleアカウント)が、登録された電話番号の相手(ここでは管理人)に、表示されてしまっています。

ここに表示されたメールアドレスは、もちろん管理人の知らないものです(日本人の名前らしき文字列が含まれたメアドでした)。

この確認コードの送信(おそらく二段階認証のログイン試行)およびパスワードの再設定リクエストをこのGoogleアカウント保有者本人が行ったものなのか、真夜中のことだったのでもしかしたら流出したメアド・パスワードを使って誰かが不正利用しようとした結果なのかは判りませんが、とにかく間違って登録した電話番号の相手に、メールアドレス自体ははっきりと判ってしまう仕様になっています。

今回送られてきたメッセージでは「メールアドレス」しか判りませんので、パスワードを突破されない限りは乗っ取り被害にあうことはないはずです。しかし、メアド自体を見知らぬ人に知られてしまったことになるので、間違えて登録した番号保有者が悪しき相手なら、いらずらされて変なメルマガに登録されたり、流出したメアド・パスワードリストなどを入手して本格的にアカウントの乗っ取りをされないとも限りません

そういった意味でパスワードの変更リクエストをすぐに行ったのは正しい行動だとは思いますが、Googleの電話番号登録時には十分に入力間違いをしていないか注意をして行いましょう。パスワードの流出が無い/すぐにパスワード変更をすれば取り返しのつかないほどの危険に繋がる可能性は低いにしても、迷惑メールがたくさん届いたりするようになるかもしれませんので・・・

結論としては、

Googleに登録していない電話番号に「Google確認コード」が送られてきた場合 → 基本は無視してOK 
Googleに登録したことのある電話番号に「Google確認コード」が送られてきた場合 → 誰かが乗っ取りのためにログインを試みた可能性あり/ 対象のGoogleアカウントのログイン履歴の確認、セキュリティ見直しを推奨
・「Google確認コード」に不審なリンクやログイン先が表示されていた場合 → スパムの可能性大/リンクのクリック・情報入力はしない(本物の確認通知である場合、別ページへのリンクは存在しないはず)

これを守っていれば大丈夫だと思います。不明な点はGoogleのヘルプやサポート等へお問い合わせください。

[G-XXXXXXがあなたのGoogle確認コードです]って何?Google確認コード-情報漏洩の危険や不正アクセス・詐欺の可能性
LINEで送る

Tagged on: