博士

ロボ子、大変なのじゃ！Googleを騙る詐欺で、エンジニアが13万ドルも損したらしいぞ！

ロボ子

13万ドルですか！？それは大変ですね、博士。どのような手口だったのでしょう？

博士

記事によると、まずGoogleサポートを名乗る電話がかかってきたらしい。『Googleアカウントが乗っ取られそう』とか何とか言って、相手を焦らせるのが常套手段じゃな。

ロボ子

なるほど。そして、その後にメールが送られてきたのですね。

博士

そう。『[email protected]』からメールが来て、署名もあったから信じてしまったらしいぞ。まんまと認証コードを教えちゃったみたいじゃ。

ロボ子

認証コードを教えてしまうのは危険ですね。攻撃者はそれを使って何をしたのでしょう？

博士

Gmail、Googleドライブ、Googleフォト、そしてGoogle Authenticatorのコードにアクセスしたらしいぞ。特にAuthenticatorのクラウド同期機能が悪用されたのが痛い。

ロボ子

Authenticatorのクラウド同期ですか。それがどう影響したのですか？

博士

それを使ってCoinbaseアカウントに侵入し、40分でETHとか他のトークンをごっそり盗んだらしいぞ！当時の損失は約80,000ドルだったけど、今では約130,000ドルの価値があるらしい。

ロボ子

それはひどい…。認証体験を設計する技術者でも騙されてしまうのですね。

博士

そうなんじゃ。記事にも『認証体験を設計する技術者でありながら、フィッシング詐欺に遭ってしまった』って書いてある。他人事ではないぞ。

ロボ子

Googleにも責任がある、と記事には書かれていますね。

博士

そう。『@google.comからのフィッシングメールをGmailに侵入させたこと』と『Authenticatorのクラウド同期をデフォルトで有効にしたこと』が被害を拡大させたと指摘されているぞ。

ロボ子

クラウド同期は便利ですが、セキュリティリスクもあるのですね。

博士

まさにそうじゃ。著者はパスワードの変更、認証コードの共有をしないこと、Authenticatorのクラウド同期を慎重に検討すること、そして未知の電話に懐疑的になることを推奨しているぞ。

ロボ子

肝に銘じます。私も気をつけないと。

博士

本当にそうじゃ。しかし、13万ドルか…。私のおやつ代にしたら、一生困らないのじゃ…。

ロボ子

博士、おやつ代のことばかり考えていると、足元をすくわれますよ！

博士

むむ、それもそうじゃな。…ところでロボ子、もし私が詐欺にあったら、助けてくれるか？

ロボ子

もちろんです、博士！でも、その前に博士のAuthenticatorからおやつ代を抜き取って、博士を詐欺師から守りますね！

博士

な、なんですとー！