Gmail アカウントを乗っ取られたことに気づき、最終的に Google に連絡して取り返すという経験をしたので参考までに記しておく。実は「あれこれ」というほどいろんな出来事はなかったのだが。乗っ取られたアカウントは自分が管理しているウェブサイトの連絡先として取得したもので、普段使っている自分のアカウントではなかった。結果的にはこのことがいろいろと幸運だった。

※末尾に追記したが、悪意ある「乗っ取り」であるかどうかは厳密にはわからない。ただし回復した過程から判断すれば自分が正当なアカウント所有者であると判断されたようだ。

1. 乗っ取りに気づく

件のアカウントはあるウェブサイトの連絡先としてサイトに表記し、寄せられるメールはすべて自分の普段用のアカウントに転送する設定にしていた。今思えば日常的に送られてきていたスパムが途絶えたのが乗っ取りの予兆だったのだが、転送設定にしていたためにわざわざログインすることはなく半年以上放置状態になっており、アカウントの状態を知らぬままに過ごしていた。発覚のきっかけはつい最近取得した twitter のアカウントにそのメールアドレスを登録した際、送られてくるはずの登録確認メールがいつまでたっても到着しなかったことである。

何かおかしいと思って問題の Gmail アカウントにログインしようとすると、何回ためしてもログインできず、パスワード再設定の操作をしても確認メールが送られてこない（パスワード再設定用の連絡アドレスには自分の普段用のメールアドレスを登録していたはずであった）。この時点で絶望的な気分になったが、よもやと思い別のアドレスからアクセスできないメールアドレスにテストメールを送信してみたところ、何と「ただいま休暇中につき返信できません。休暇明けに返信します。」という英文の自動応答メールが返ってきたのである。これを見てようやくアカウントが完全に盗まれていたことを把握。自動返信の署名をみると、どうやらその時点ではニューヨークの企業が使っているようで、企業名はまさしくそのアカウント名と同じであった。

2. Google に連絡する

はたして Google はアカウント乗っ取りについてまともな対応をしているのだろうか ? と不安に駆られつつ探してみると、ヘルプに対処法を発見。

ここで迷うことなく「アカウントが侵害された」を選択。示されたリンクに従って移動すると英文のコンタクトフォームが表示される。

正当なアカウント所有者であるか否かを総合的に判断するためのさまざまな情報を入力する。Gmail を使用しているアカウントの場合にはアカウント作成時の Verification Code の入力が必須になっている。幸い自分は普段用のメールアドレスを登録していたため、この Verification Code はそちらに送られていて無事であった。他にも頻用する連絡先、作成したラベル、アカウント作成時期、最後に覚えているパスワードなど、さまざまな情報を入力する。フォームの上部にも説明されているが、確実な情報が多いほど Google にとっては誰が正当なアカウント所有者であるか判断しやすいはずであると思い素直に記入して送信。

3. 回復

一日くらい待たされるのかと思いきや、一時間もせずに Google からメールが届く。その後やることは普通のパスワード忘失時の再設定とだいたい同じ手順であった。再設定したパスワードでログインすると、何やらテーマや署名などいろいろと変更されてはいたものの、問題のあるメールを送信した形跡もなく、これまでに自分宛に受信したメールもすべて保存された状態であった。一応これで一件落着。受信メールの中には重要な要件のメールはなくはなかったが、必ずしも返信を要するものではなかったので安堵する。

その後転送や POP、IMAP 等をすべて確認。Gmail のページ最下部の Detail のリンクをクリックするとアカウントへのアクセス元 IP が直近5件確認できるが、見たところ IMAP でアクセスした形跡があったので外部クライアントからのアクセスはすべて制限した。

4. 何が問題で何が幸運だったのか

なぜアカウントが乗っ取られたのかは判然としていない。パスワードは10文字超・英数混在でそれほど脆弱なものではなかったはずであるし、怪しいPCなどにアカウント情報を入力した覚えもなく、そもそもアカウント作成以来ほとんどログイン情報を入力したことがない。今回は企業名とアカウント名が合致しているため狙いをつけてアカウント情報を盗んだとも思えるが、はたしてそんなことが可能なのだろうか。よく分からないだけに不安を感じる。

今回は結果的にスムースにアカウントを回復できたのだが、ラッキーだったことがいくつかあった。ひとつはそのアカウントがあまり重要なものではなく、盗まれても二次的な被害が生じる危険が少なかったこと。自分の個人情報および他人の連絡先情報は登録していなかったし、受信していたメールもほとんどスパムであった（はずである）。次にアカウント作成時に普段用のアドレスを登録してあったので、アカウント作成時期の情報や Verification Code が外部に保存されていたこと。特に Verification Code はその名の通りにアカウント所有者の証明なので重要だろう。そして乗っ取られたアカウントを悪用されなかった（ように思える）ことも幸運であった。また、「休暇中ですので…」という自動返信がすぐに返ってこなかったらアカウント乗っ取りという事実を把握することにもやや時間を要したかもしれない。

今回の件の教訓は、情報管理に関してはあまり一元化せず、切り離せるところは切り離しておくとリスクも分散できるということだろうか。複数アカウントを持っていたとしても Gmail のみで主要な連絡をこなすのは怖い。今回はたまたま幸運だったが、あらゆるアカウントは盗まれる可能性があると考えておくべきなのかも知れない。

5. 蛇足

ログイン情報が盗まれた経緯もさりながら、Google の対応があまりに迅速だったため、彼らが何をどの程度調査・検討してアカウント所有者の正当性を判断しているのかが若干気になる。Verification Code を別にすれば、コンタクトフォームに入力した情報にはそれほどクリティカルなデータは含まれていないように思える。例えば自分がログインした状態の Gmail を誰かが一定時間操作したら、ほぼ確実に入手できる情報が多い。

邪推すれば、ある程度頻繁にアカウントの乗っ取りが発生するため迅速に対応するシステムを設けているのかも知れないし、さらに想像をたくましくすれば、必ずしもユーザー自身の単純な過失として突き放した対応をしにくい状態になっているのかも知れない。

追記：

このエントリを書いてから気がついたのだが、Gmail アカウントは6ヶ月ログインしないと休眠状態とみなされ、その後一定期間後にアカウントは解消されるとされている。今回の件もログインしない期間がかなり長かったのでこの規約に関係していた可能性はあるが、しかし他人が使用していたアカウントが自分に戻ってきたことは事実である。