Google認証システムのアカウント同期はE2E暗号化されてないことが判明→同期オフ推奨

Googleは2要素認証（2段階認証）に必要な認証コードをアプリで確認できる「Google Authenticator」または「Google認証システム」を最新版にアップデートし、多くのユーザーが希望していたアカウント同期機能を追加しました。

同期機能を利用することで、これまでは1台でしか確認できなかった認証コードを同アプリをダウンロードした複数のデバイスで確認できるようになります。

スマートフォンを紛失した時や機種変更の際も2要素認証から閉め出されず、移行もカンタンになったものの、この同期機能がエンドツーエンドで暗号化されていないことが明らかになりました。

セキュリティ研究者の@mysk_coは、Google認証システムアプリに追加されたアカウント同期機能のネットワークトラフィックを分析した結果、エンドツーエンドで暗号化されていないことがわかったと報告しています。

これにより関係のない他人が同じ認証コードを取得できてしまう可能性があり、2要素認証を突破できてしまうリスクがあるとして同期機能をオフにして利用するよう呼びかけています。

この報告に対してGoogleは、強力な保護機能と引き換えにロックアウトされる可能性があることからエンドツーエンドで暗号化していないことを認めました。

ただし、Google認証システムを含む製品において送信および保存時のデータを暗号化していると説明し、いくつかの製品ではエンドツーエンド暗号化のオプション提供を開始し、将来的にはGoogle認証システムにも提供予定と案内しています。

エンドツーエンドの暗号化オプションが提供されるまでは同期機能を利用は控えた方が良いでしょう。すでに同期機能オンにした場合は、以下の手順で同期機能を利用せずにGoogle認証システムの利用を継続できます。

アカウント同期をオフにする
1. Google認証システムを起動して画面右上をタップします
2. 「アカウントなしでauthenticatorを使用」をタップします
3. 以下の画面が表示されたら「続行」を選択します
4. 認証コードが表示されたら正常にログインできるか確認後、他のデバイスからアプリを削除しましょう