セキュリティウォッチ：GoogleをGmailから締め出せますか？

今週は、2要素認証（2FA）を使用している場合にアカウントからロックアウトされないようにする方法について以前に書いた読者からのメッセージをフォローしています。 CapetownのJeremyも、2FAを使用してGoogleをGmailから遠ざけることができるかどうかを尋ねるために書いています。 彼の手紙は簡潔にするために編集されました。

Googleが自分のGmailにアクセスできないように実装できるセキュリティ設定がありますか？

二要素認証とは何ですか？

確認するには：2要素認証は、可能な3つのリストから2つの認証要素を使用する場合です：あなたが知っているもの、あなたが持っているもの、またはあなたがいるもの。 たとえば、パスワードはあなたが知っているものであり、指紋はあなたがしているものです。 2つを一緒に使用すると、2FAを使用します。

実際には、2FAには、パスワードを入力した後に自分が本人であることを完全に証明するための追加の手順が含まれます。 これには、アプリから生成された、またはSMS経由で送信されたワンタイムコードの使用が含まれますが、DuoなどのタップしてログインアプリやYubicoや他のメーカーのハードウェアセキュリティキーなど、他の多くのオプションがあります。

2FAは良いです。 あなたはそれを使うべきです。 それはあなたのアカウントから悪者を締め出す素晴らしい方法ですが、Googleを締め出すために多くのことをするようには見えません。

誰が何を見ている？

一般的に、Googleはあなたのメールのコンテンツにアクセスしているように見えます。 クリストファークオングエンは、Googleの元従業員として名乗り、2010年にQuoraで、ごく少数の従業員がメールコンテンツにアクセスでき、情報を取得するための高度に規制されたパスが存在すると書いています。 現在、この情報はこの時点ではほぼ10年前ですが、はい、ある時点でGmailアカウントにアクセスできる人がいたことを示しています。

Googleは法を順守する企業として、政府や法執行機関からの情報に対する法的要求に従う必要があると述べています。 これには、メールメッセージの内容が含まれる場合がありますが、Googleは、受け取ったリクエストの範囲を狭めようとし、写真、ドキュメント、メールメッセージなどを引き渡す前に検索の令状が必要だと指摘します。

GoogleがGmail情報を使用する他の方法があります。 同社はもはやメッセージをスキャンしてカスタム広告コンテンツを生成していませんが、有名なことは何年もありました。 現在でも、Gmailはメッセージを解析して旅行情報を引き出して強調表示し、メッセージを書くときに先行入力候補を生成します。 あなたの快適さのレベルに応じて、これは完全にすばらしいか、または非常に侵襲的です。

Google は あなたのメールを暗号化 している ように見えますが、主にそれらのメッセージが送信されている間です。 これらのメッセージがGoogleのサーバーに保存されている間に暗号化されたとしても、Googleが暗号化キーを管理している場合（そして、私が見たことが暗示している場合）、Googleはあなたのメッセージにアクセスできる可能性があります。

2FAは答えではない

ジェレミーがどこから来たのか、彼の質問からわかります。 私はYubikeyを制御していますが、2FAを有効にした場合、Googleはそうしませんので、GoogleはGmailアカウントにアクセスできません。 ただし、Googleは2FAで保護されているアカウントに変更を加えることができます。

仕事以外のGmailアカウントの1つを起動して、[パスワードを忘れた場合]オプションをクリックしました。 サインインの代替オプションがすぐにジャンプしました：スマートフォンへのテキスト送信、Yubikeyの使用、確認済みの電話でのアラートのタップ、予備のメールアドレスへのメールの送信、セキュリティ保護用の質問への回答、Gmailを作成した日付の入力アカウントを作成し、最後に問題を直接解決するためにGoogleがアクセスできるメールアドレスを残します。 Googleがパスワードや2番目の要素を必ずしも持たずに自分のアカウントへのアクセスを許可できる場合、それはGoogleがそれを行うことができることを意味します。

GoogleのGmail用Advanced Protection Programでも、一種の回復オプションがあります。 高度な保護を有効にすると、ログイン用とバックアップ用の2つの異なるハードウェアセキュリティキーを登録する必要があります。 両方のキーを紛失した場合、GoogleはAdvanced Protection Programアカウントの制御を取り戻すことについて次のように述べています。

ログインセッションに引き続きアクセスできる場合は、account.google.comにアクセスして、失われたキーの代わりに代替キーを登録できます。 両方のキーを失い、ログインセッションにアクセスできない場合は、アカウントを回復するリクエストを送信する必要があります。 Googleが本人であることを確認し、アカウントへのアクセスを許可するまで数日かかります。

全体として、2FAは、高度な保護で使用される極端なバージョンでも、Google自体をメールから保護するには不十分です。 ほとんどの人にとって、それはおそらく良いことです。 電子メールアカウントは、個人のセキュリティインフラストラクチャの非常に重要な部分です。 パスワードを紛失したり、パスワードを変更する必要がある場合、通常、確認済みのアカウントに送信されるメールはプロセスの一部です。 攻撃者があなたのメールアカウントにアクセスすると、ウェブサイトでアカウント復旧オプションを使用してさらに多くのアカウントにアクセスする可能性があります。 ユーザーが自分のアカウントの制御を取り戻す手段を持っていることが重要です。

本当にプライベートなメッセージ

メッセージングシステムで見られるものと見えないものについて話すとき、認証ではなく暗号化について話します。 ほとんどのサービスは、メッセージの送信および保存のプロセスのさまざまな時点で暗号化を使用します。 たとえば、Gmailはメッセージを送信するときにTLSを使用して、傍受されないようにします。 あらゆる種類のメッセージングサービスが、サーバーに置かれているメッセージを暗号化するために使用されるキーを保持している場合、会社がそれらのメッセージに自分でアクセスできるというのは安全な仮定です。

Gmailアカウントを保持したいが、メッセージを読み取れないようにする場合は、それらのメッセージを自分で暗号化できます。 Chromeには多数の暗号化プラグインがあります。または、メールで一般的に使用される暗号化スキームであるPGPでメッセージを暗号化するようにThunderbirdを構成できます。 より高価なYubicoモデルは、必要に応じてPGPキーを吐き出すように構成することもできます。

私は正直に言って、これらの仕事のいくつかは確信しているが、それらを十分に理解することができなかったと言うつもりです。 PGPの作成者は、プロセスが複雑すぎて理解できないと感じていることで有名です。

より簡単なのは、暗号化ツールを使用してメッセージを暗号化し、暗号化された出力をGmailに添付または貼り付けることです。 もう一方の側で復号化プロセスを調整する必要がありますが、メールの内容はGoogleや他の誰にも読めません。 Keybase.ioは、電子メールで使用できるテキストを暗号化、復号化、または署名できる別のサービスです。

メール以外に誰もアクセスできないことを絶対に確認する必要がある場合は、いくつかのオプションがあります。 何よりもまずGmailを捨てることです。 ProtonVPNの作成者によるProtonMailは、プライバシーを尊重することを目的としたサービスであり、他のメールプロバイダーを使用するユーザーと送受信するメールを含むすべてのメールメッセージを暗号化することで実現します。 ProtonMailの操作の説明は次のとおりです。

ProtonMail受信ボックス内のすべてのメッセージは、エンドツーエンドで暗号化されて保存されます。 つまり、お客様のメッセージを読んだり、第三者に引き渡したりすることはできません。 これには、ProtonMail以外のユーザーから送信されたメッセージが含まれますが、Gmailからメールが送信された場合、Gmailにはそのメッセージのコピーも保持される可能性があります。

• 二要素認証：誰がそれを設定し、どのように設定するか二要素認証：誰がそれを設定し、どのように設定するか
• Google TitanセキュリティキーバンドルGoogle Titanセキュリティキーバンドル
• SecurityWatch：2要素認証でロックアウトされない方法SecurityWatch：2要素認証でロックアウトされない方法

別のオプションは、電子メールを超えて見ることです。 2010年代後半には、デバイス間でメッセージを送信するためにSMSプランの代わりにデータ接続を使用する過剰なメッセージングサービスが大量に発生しました。 近年、これらのサービスの多くはエンドツーエンド暗号化を採用しています。つまり、あなたとあなたの意図した受信者だけがあなたのメッセージを読むことができます。 Signalは最もよく知られ、それ自体が優れたアプリです。 WhatsAppはSignalプロトコルを採用し、メッセージをエンドツーエンドで暗号化します。 Facebook Messengerは、皮肉にも、Secret MessagesモードにSignalプロトコルを使用します。

Appleのメッセージプラットフォームは、おそらくステッカーやアニ文字カラオケで最もよく知られているかもしれませんが、非常に安全なメッセージングシステムでもあります。 また、他のメッセージングサービスとは異なり、メッセージのコンテンツへのAppleアクセスを許可せずに、電話またはコンピューターでメッセージを送受信できるため、注目に値します。

Gmailの使用に関しては、人々が自分の根性に耳を傾けることをお勧めします。 メッセージが人間やボットに読まれることを深く心配している場合は、別の方法を試してください。 Gmailが本当に便利で、Gmailが提供する機能が 気に入って いる場合は、Gmailを使い続けてください。 Gmailを完全に安全なものにしようとすることは確かに可能ですが、非常に多くの簡単な代替手段があります。 最後に、2FAは、悪意のあるユーザーをアカウントから排除するための優れたソリューションであり、それで終わりです。 サービスの所有者をロックアウトするために私はそれに依存しません。