Googleはサードパーティ製アプリが企業向け生産性スイート「G Suite」のアカウントにアクセスする方法に、大幅な変更を加える。
GoogleはG Suite管理者に対して、2020年6月から「安全性の低いアプリ」(LSA : Less Secure App)を制限し、2021年2月にはアクセスを完全に遮断すると警告した。LSAには、古いバージョンの「Microsoft Outlook」などのメールクライアントが含まれる。
Googleはセキュリティを強化して、メールクライアントユーザーへのフィッシング攻撃などを防ごうとしている。こうした攻撃は、「Gmail」のデータへの不正アクセスに利用される恐れがある。複数のサイトで同じパスワードを使い回している場合は、特にその危険性が高まる。
今回の変更は、ユーザー名とパスワードのみを使ってGoogleアカウントにアクセスするアプリに適用される。Googleはアプリ開発者に対し、同社やFacebook、Microsoft、Twitterが採用する「OAuth」認証規格に対応するよう求めている。
Googleは4月、中間者(MITM)によるフィッシング攻撃を阻止するために、組み込みブラウザーフレームワークからのサインインをブロックすることを明らかにした。10月には、G Suite管理者が「安全性の低いアプリへのアクセス有効化をすべてのユーザーに適用する」オプションを選択できなくした。
6月になると、Googleは「古いバージョンのメール、カレンダー、連絡先のアプリ」が新たな制限の影響を受ける可能性があるとの警告を発した。Googleは、米国時間2020年6月15日から2段階で新方針を適用する。最初は、新規に接続するアカウントが対象となる。
「LSAに初めて接続しようとするユーザーは、もう接続できなくなる」(Google)
この措置により、「CalDAV、CardDAV、IMAP、Exchange ActiveSync(Google Sync)などのプロトコルを通じてGoogleのカレンダーや連絡先、メールにパスワードだけでアクセス」できるサードパーティ製アプリが影響を受ける。
この状況は、LSAへの接続が遮断される2021年2月15日までの8カ月間続く。この日までは、2010年6月15日以前からパスワードのみでアプリに接続してきたユーザーは、それらのアプリを使い続けることができる。
同社ブログでは、「(例えばデータ漏えいが発生した他のサイトと同じパスワードを使っているという理由などで)悪意を持ったアクターがあなたのユーザー名とパスワードを手に入れた場合、LSAに対してそのユーザー名とパスワードを入力するだけで、あなたのアカウントデータにアクセスできるようになる」と説明。
「しかし、OAuth経由でアカウントにアクセスできるようになっていれば、われわれはログインに関する詳細な情報を得られるうえ、あなたのアカウントに対する他のログインと同じ方法でそれを検証できるようになる」と続けている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
