Gmailの最新のセキュリティ機能により、ユーザーは友人の助けを借りてアカウントを復旧できるようになりました。
Googleは現在、顧客が信頼できる友人や家族を選択できるようにしており、他の手段が利用できない場合に、そのアカウントを使って復旧コードを取得できるようになりました。
この機能は、テック大手がユーザーにパスキーの利用を促し続けている中で導入されました。Googleはしばらく前からパスキーをアカウント認証の未来と見なしています。
しかし、パスキーの問題点は、人々がデバイスを頻繁に紛失することです。たとえばスマートフォンを失くした場合、他のメールアカウントやワンタイムパスコード用のSMSメッセージにすぐアクセスできず、メールにアクセスできなくなる可能性があります。
信頼できる復旧連絡先を設定すると、ユーザーはどの連絡先にアカウント復旧の手助けをしてもらうか選択できます。ユーザーはその人にコードを共有します。連絡先には復旧の手助けを促す通知が届き、ユーザーが提供したコードを使ってリクエストが本物かどうかを確認します。
リクエストの確認は、番号一致認証にかかっています。復旧連絡先には3つのコードが表示され、その中からユーザーが伝えたものを選択する必要があります。
Googleは、ユーザーがリクエスト発行から15分以内に応答してくれる可能性が高い人を選ぶよう勧めています。15分経過するとリクエストは失効し、ユーザーは同じ連絡先に新しいコードを発行するか、別の連絡先を選ぶ必要があります。
また、これらの信頼できる連絡先はサイバーセキュリティ意識が高い人であるべきとも指摘しています。
手順が多いことから可能性は低いものの、信頼できる連絡先による復旧機能は、高度なソーシャルエンジニアによって悪用され、連絡先自身が偽装を見抜けなかった場合、アカウントにアクセスされる可能性も理論上はあります。
例えば、攻撃者がアカウント復旧プロセスを開始し、知らない電話番号(友人を装って)や偽装されたメールアカウントなど、乗っ取られたチャネルを通じて信頼できる連絡先にコードを渡した場合、連絡先が騙されればアカウントが不正に乗っ取られる可能性があります。
しかし、Googleはこのような攻撃を防ぐために追加のチェックも実施しています。デバイスの履歴、位置情報、IPアドレスを確認し、復旧試行の信頼性を判断、必要に応じて追加認証を求める場合もあります。
Googleはまた、サポート記事で、たとえ復旧連絡先がリクエストを承認しても、アカウントをセキュリティ保留状態にして、本当の所有者が試行が正当かどうか確認するための猶予を設けることがあると述べています。
各ユーザーはアカウントごとに最大10人の復旧連絡先を選択でき、最大25件の復旧連絡先になることができます。
ただし、雇用主のGoogle Workspaceアカウントはこの機能の対象外です。試してみましたが、個人のGmailアカウントでしか動作しませんでした。
Googleはプレスリリースで触れていませんが、高度な保護プログラムに登録されたアカウントやGoogle Workspaceアカウントは信頼できる復旧連絡先を設定できませんが、他のアカウントの復旧には利用できます。
また、子どものアカウントは復旧に使えず、子どもが信頼できる連絡先を追加することもできません。
「パスキーはパスワード不要の未来への大きな一歩でした」とGoogleは述べています。「復旧連絡先は既存のツールに加え、信頼できて安全な新たな選択肢を提供し、他の方法が使えないときにアカウントに再びアクセスできるようサポートします。」
「復旧連絡先の提供は現在進行中です。アカウントにアクセスできなくなるのはストレスですが、復旧をより確実にする新しいソリューションの開発を続けるとともに、Googleの高いプライバシーとセキュリティ基準の維持にも努めていきます。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/16/google_gmail_trusted_contacts/
