Epic GamesとGmailが不正アクセスされた

2020年8月、私のEpic GamesとGmailアカウントが不正アクセスを受けました。
ググったりTwitterで調べても対処法が見つからなかったので経緯を含めて備忘録としてまとめておきます。

結論として、すぐにでも実施すべき対処は以下二つ。（Gmailは執筆時点で対処法がなさそう）

１．前提

私はEpic Gamesの無料配布ゲームもプレイしますし、MOD作成でUE4も利用するためEpic Gamesランチャーをインストールしています。
無料配布ゲームを貰うためには二段階認証の設定が必要となったため、「メール認証」にしており、認証メールの送付先およびEpic Gamesのアカウント名はGmailアドレスになってます。
Epic Gamesストア無料ゲーム入手に2段階認証が必要に

また、ゲームとDLC購入のためEpic Gamesで支払ったこともあり、その際に支払い方法はPaypalに設定してました。

２．経緯

①ある日、いつものようにPCを触っていたところ、Epic Gamesランチャーが立ち上がり、パスワードの入力を求められる。

②パスワードを何度入力してもログインできない。

③不審に思いGmailをチェックすると、Epic Gamesから「パスワードリセット」、「二段階認証用のコード」、「パスワード変更完了」の三通のメールが来ていた。
この時点で不正アクセスされてるのは分かったがGmailを覗かれてることには気づかず。

④すぐさまこちらからパスワードリセットし、パスワード変更でアカウントを取り返す。
すぐに使う予定はないためこの時点でEpic Gamesランチャーへのログインはしなかったので、以降ランチャーは起動しない。

⑤10分後くらいに再度覚えのない「パスワード変更完了」までの三通のメールが来てまた不正アクセスされる。

⑥再度パスワードリセットしアカウントを取り返す。

⑦1,2時間後、「Epic Gamesとの請求書処理規約が変更されました」とPaypalからスマホへメールが届く。
Paypalではなくクレカを設定していたらこの時点で不正に購入されてたはず。Paypalのパスワードは全く異なるものを設定していたので回避できた。

⑧Gmailをチェックすると今回はパスワード変更に関する三通のメールがない。ゴミ箱を確認すると捨てた覚えのないパスワード変更のメールが入っていた。
この時点でGmailまでも不正アクセスされてるという事の重大さを認識。対処法を調べまくる。

⑨三度目のEpicアカウントを取り返す。

⑩数分後に四度目の不正アクセス。Gmailをチェックするとまたメールがゴミ箱に捨てられており、そのままGmailを見ている目の前でゴミ箱の中身を全消去された。
メールを見るだけでなく削除や移動などGmailでできることは一通り可能らしい。軽くパニック。

⑪四度目のEpicアカウントを取り返す。
特に対策をしていないが不正アクセスはここで一旦落ち着いた。

⑫Gmailの不正アクセスを調べた結果、Gmail画面最下部にある「前回のアカウント アクティビティ」の「詳細」をクリックするとアクセス履歴が見れるとのこと。
見てみた結果、

アクセス元は香港（212.102.50.120）となっているが、IPで検索してもサイトによって東京ともイタリアとも出てくるのでよく分からない。
別タイミングでは、日本（5.181.235.108）とロシア（95.30.72.197）からもアクセスされていた。

⑬Gmailに不正アクセスされていることは分かったものの、Googleアカウントの管理ページからは自身の端末しか表示されない。つまりGmailへの不正アクセスがGoogleからは検出されていない！
この時点でGoogleアカウントのパスワードを変更したものの上画像のGmailへの不正アクセス中の端末は弾かれたりせずアクセスしたままずっと表示されている。（おそらくログアウトされると次回不正アクセスできなくなる）

⑭翌日、五度目のEpicへの不正アクセス。今回もパスワード変更メールは消されていた。

⑮五度目のEpicアカウント取り返す。取り返した際に二段階認証メールが届いてないことに気付き、アカウント設定を見ると二段階認証設定がオフになっていた。

⑯二段階認証再設定する際にSMS認証があることに気付く。SMS認証に変更し、認証コードがスマホに届くように設定。

⑰数分後、二段階認証コードがスマホに届く。六度目のパスワードリセットされたが、スマホは私しか見ることができないため不正アクセスを防げた。
とはいえ、ここまでGmailには不正アクセスされっぱなし。

⑱二段階認証をSMS認証に変更したおかげで以降パスワードリセットはされなくなった。
翌日以降はGmailの不正アクセス履歴もなくなった。

長いですがこんな感じでした。少し日が経ってるので記憶違いはあるかもしれません。

３．原因と考察

なぜこのようなことが起きたのか考察してみます。

３．１　Epic Gamesのパスワードリセットが簡単にできる

Epic Gamesアカウントはメールアドレス固定と思われ、メールアドレスさえ知っていればログイン不要で誰でもパスワードリセットが可能です。
普通はパスワードリセットはログイン中のみ、パスワードを忘れた場合にはメールアドレスへ送付するという形式が多い気がします。
とはいえ、これは今回の不正アクセスの本質的な問題ではないです。

３．２　検出されずにGmailにアクセスできる脆弱性が存在する

こちらが大問題です。
Google系のサービスに不正アクセスがあると、Googleから通知メールが来ますし、アカウントページで現在ログイン中の端末として表示されるはずです。
が、今回はGmailを覗かれ、メールも削除されたにも関わらずGoogleから検出されませんでした。

今回私が確認した不正アクセスは3端末（3IP）あり、それらは全てFirefoxからのアクセスだったため、おそらくGmailに何かしらの脆弱性があり、Firefoxのアドオン等を利用することで検出されずに不正アクセスできたのではと推測しています。（パスワードはどこかから漏洩した？）

一応、Gmailへの不正アクセスはできても大元のGoogleアカウントへの不正アクセスはできないようです。Googleアカウントのパスワードを不正に変更する方が手っ取り早いのにそれはされなかったので。

３．３　Googleパスワードを変更してもログイン中の端末はそのまま

今回Googleパスワードを変更しても、手持ちのモバイル端末からのパスワードの再入力は不要でログインしたままでした。
つまり、Gmailへ不正アクセスしている端末もログインしたままとなり、Googleパスワード変更後もGmailを覗かれEpicへの不正アクセスが発生しました。

とはいえ、不正アクセス者がGoogleパスワードを変更した場合、本当の所有者がログインできなくなっては困るのでこの仕様は変えられない気もします。

４．対処法と教訓

Googleに報告するようなフォームもなさそうなので、Gmailは覗かれることを想定して対処する必要があります。

４．１　二段階認証はSMS認証

Gmailに限らずメール認証だとネットワーク上から覗かれる危険性が存在するため、あらゆるサイトの二段階認証はSMS認証にしましょう。
世界に一つしか存在しない電話番号に紐づくSMS認証であれば手持ちのスマホが盗まれない限り不正アクセスできません。

４．２　可能な限りPaypalを使う（クレカは使わない）

今回、Paypal支払いにしてたおかげで不正購入を防ぐことができました。
そもそも海外サイトでクレカを使うのは危険なので使ってない人は今からでもPaypal登録した方がいいです。普通に購入するのであれば特に手数料はかかりません。
ペイパルのメリット － PayPal公式

４．３　パスワードの使い回し

Epicはパスワード不要でリセットできるので、今回はGoogleパスワードが漏洩していたと想定されます。（他サイトの使い回しに近かった）
とはいえ、使い回しは危険と分かっていても現実的には不可能だと思います。（私の登録サイトは100サイト超えるはず）

なので、Googleなど不正アクセスされたら困るような大きなサイトや銀行などは異なるパスワードに設定した方がいいでしょう。
私は元々、銀行やPaypal等金銭が絡むところはちゃんと異なるIDとパスワードにしてましたが、今回の件でGoogleも最重要アカウントとして異なるパスワードに設定し直しました。
Paypalもパスワード使い回していたら今頃不正購入されてたはずです。

以上です。
残念ながらGmailへ不正アクセス中の端末を弾く方法は調べても見つけきれませんでした。
Googleパスワードを変更して不正アクセス端末がログアウトするのを待つしかなさそうです。
Googleへ報告するようなフォームも見つけきれなかったので、検出されずに不正アクセスできる脆弱性？はしばらく残ったままかもしれません。

ー2020/8/20