MCCアカウント乗っ取り事件から学ぶ3つの対策

今回は、MCCアカウントの乗っ取り事件についてお伝えします。株式会社プロパゲートの松岡さんの動画で、MCCアカウント（複数のGoogle広告アカウントを一元管理するための、管理用アカウント）が乗っ取られ、勝手に広告を出されて5,800万円分の広告費が無駄に配信されてしまった事例が紹介されました。

非常に深刻な事件であり、同様の被害を防ぐために、現実的なセキュリティ対策を整理して解説します

１．MCCアカウント乗っ取り事件で起きたこと

今回の事件は、プロパゲートのスタッフの方がMCCアカウントへログインできなくなったことから発覚しました。判明している流れは以下の通りです。

管理者の追加は、MCCの管理者権限を持つユーザーでログインしなければ行えません。つまり、管理者権限を持つアカウントが不正にログインされ、操作された可能性が高いと考えられます。

ここで重要になるのが、2段階認証が突破された点です。

Googleの2段階認証では、スマホに「Google」または「YouTube」アプリをインストールし同一アカウントでログインしていると、承認通知が届く仕組みになっています。

今回のケースでは、何らかの方法でまず「スマホ側」でなりすましログインが行われ、その状態でMCCアカウントへのログインが実行された可能性が考えられます。スマホ側でログインできていれば、通知による2段階認証も突破されてしまいます。

この点から、スマホ通知型の2段階認証には一定のリスクがあり、より安全性の高い方式への変更が必要であると言えます。こうしたリスクを踏まえ、ここからはすぐに実践できる3つのセキュリティ対策を紹介します。

1つ目の対策は、MCCアカウントの管理者を1名に限定することです。

マネージャークラスになると管理者権限が付与されるケースが多く、社内に複数の管理者が存在することがあります。しかし、管理者権限があればユーザーの追加・削除が可能なため、操作できる人を最小限に絞ることが重要です。

管理者を1名にすれば、そのアカウントを重点的に守ればよくなります。ユーザー操作ができる「入口」を1つに絞ることで、セキュリティリスクを大幅に下げることができます。

仮に不正ログインされたとしても、管理者権限がなければユーザーを変更できません。その結果、不正なユーザーを削除するなどの対処を行える状態を維持しやすくなります。

2つ目の対策は、2段階認証の方式変更です。

Googleの検索画面を開き、画面右上のアイコンをクリックして「Googleアカウントを管理」を選択します。

アカウントの設定画面が開いたら、画面左側の「セキュリティとログイン」をクリックします。

次に「2段階認証プロセス」をクリックします。

2段階認証の設定画面で、「Googleからのメッセージ」という項目があります。設定がスマホに通知を送り承認する方式になっている場合、まずこの設定を無効化します。これにより、スマホへの通知による認証を停止します。

代わりに、スマホへ認証アプリ(例：Google Authenticator)をインストールし、そのアプリで生成されるトークンを入力する方式に変更します。

設定画面の「認証システム」からQRコードを読み取るだけで連携が完了します。これにより、GoogleやYouTubeアプリの通知ではなく、認証アプリを用いた2段階認証へ変更できます。

3つ目の対策は、バックアップコードの印刷です。万が一、パスワードを変更されログインできなくなった場合でも、バックアップコードがあればそのコードを使ってログインすることが可能です。

ハッカーがパスワードを変更した場合でも、こちらがさらにパスワードを変更し直すことができます。2段階認証画面の「バックアップコード」の設定を有効にし、印刷した用紙を金庫など安全な場所に保管しておきましょう。

なお、バックアップコードは1つ使用すると無効になります。10個表示されますが、残りが少なくなった場合は再発行が可能なため、定期的に管理することが大切です。

この3つの対策を行うことで、万が一アカウントがクラックされた場合でも、取り戻せる体制を整えることができます。

今回は、MCCアカウントの乗っ取り事件をもとに、実務的に有効なセキュリティ対策を整理しました。

特に重要なのは、

この3点です。

今回の件については、Google側のセキュリティ設計や、2段階認証が機能しなかった理由の解明が求められます。また、Googleのサポート担当の方へは、以下の2点を要望しています。

海外アクセスは国を偽装できるケースも多いため、IPアドレス制限の実装は特に有効と考えられます。

この記事をを通じて、現実的なセキュリティ対策をぜひ進めていただければと思います。