便利なGmailですが、SSL接続(https)で接続しないと簡単にハッキングされてしまうらしいです。
Webmonkey(英語)によると、Gmail Account Hacking Tool (Gmailアカウントハッキングツール)という物がリリースされているとのことです。(追記:詳しくはこちら→スラッシュドット・ジャパン | GmailのセッションIDを自動的に盗むツールが登場)
重要な記録も最近はメールで送ることが多いです。この記事を見た人は今すぐhttps接続に変更しましょう!
実はGmailはひっそりとhttps接続機能を追加しているのです。
https接続への変更方法は次の通りです。
- Gmail画面右上の「設定」をクリック
- 表示される「全般」タブを下へスクロール
- 「ブラウザの接続:」で「常にhttpsを使用する」にチェックをいれて、「変更を保存」をクリック。
これだけです!
これでパスワードなどが暗号化されて送信されることになります。
追記:私もセキュリティーに詳しくないので、少し勘違いしているところもあります。ゲストの方がコメントでわかりやすく説明してくれています↓↓
今回の要点は『パスワードを暗号化して送信』とは別問題ですよー。 Gmailへのログイン時にhttps:でアクセスしていても、Gmailにログイン中のhttp:な通信からクッキーを盗み見すれば、セッションIDを読み取って『そのログイン状態』を(ハッカーが)引き継げちゃうって話です。リリースされたというハッキングツールは、おそらくそれを自動化するようなものでしょうか。(ここからは推測が混じりますが)Gmailで「常にhttpsを使用する」とした場合、前述のセッションIDに対して『cookieのsecureモードの設定』とやらが行われ、http:な通信には含まれなくなり、結果としてアカウントハックを防御出来るって事みたいです。 http://www.ipa.go.jp/security/ciadr/20030808cookie-secure.html
忘れないように、今すぐ設定しておきましょう!
追記
はてなブックマークのコメント見ていると「携帯からアクセスできなくなった。」「Gmail Notifer が動かなくなっちゃんだよなぁ」というコメントがありました。他不具合などある場合はコメントお願いします!
追記
Gmail Notifierをhttpsで使用する方法 (コメントありがとうございます。)
Tag: Gmailhttp://mail.google.com/support/bin/answer.py?hl=en&answer=9429 .regファイルがダウンロードできます。レジストリを書き換える事で対応するようです。またhttps→httpに戻す用の.regファイルもセットになっていました。
関連リンク
- 25MB以上のデータ添付はDropbox for Gmail が便利です!
- ネットが接続できない場所でも『オフラインGmail』を使って作業をしよう!
- Gmail ブートキャンプ①:ショートカットを使いましょう。
- Gmail内でウェブ検索して、検索結果をメールで送信
- Gmailから携帯電話へ絵文字つきメールが送れるようになりました
その他の記事を読む

Comments
いうとおりに設定したら携帯から読めなくなったので元に戻したいのですが、元々は「場合によっては https を使用しない」にチェックされてた状態でOKでしょうか
元々は、どちらにもチェックが入っていない状態です。「場合によっては https を使用しない」で良いと思います。https接続にしたいときは、https://mail.google.com/をブックマークしておいて、アクセスするのも一つの手です。
不具合
Firefox 3に変更したことが原因か…
「GTD In BOX」が読めなくなってしまいました;;
どちらにもチェックが入っていない状態に戻すことはできないのでしょうか
それは、わかりません。すみません。ただし、「場合によっては https を使用しない」が最初の状態だと思います。
Gmail Notifierをhttpsで使用する方法
http://mail.google.com/support/bin/answer.py?hl=en&answer=9429
.regファイルがダウンロードできます。
レジストリを書き換える事で対応するようです。
またhttps→httpに戻す用の.regファイルもセットになっていました。
今回の要点は『パスワードを暗号化して送信』とは別問題ですよー。
Gmailへのログイン時にhttps:でアクセスしていても、Gmailにログイン中のhttp:な通信からクッキーを盗み見すれば、セッションIDを読み取って『そのログイン状態』を(ハッカーが)引き継げちゃうって話です。
リリースされたというハッキングツールは、おそらくそれを自動化するようなものでしょうか。
(ここからは推測が混じりますが)Gmailで「常にhttpsを使用する」とした場合、前述のセッションIDに対して『cookieのsecureモードの設定』とやらが行われ、http:な通信には含まれなくなり、結果としてアカウントハックを防御出来るって事みたいです。
http://www.ipa.go.jp/security/ciadr/20030808cookie-secure.html
[…] なんかGmailをhttps接続しないとあーだこーだとあるようですが、「みんな今までそのまんまだったの?」ってのが正直なところ。 […]
[…] Gmailユーザーは今すぐSSL接続にしましょう!ハッキングされる前に! | Googl… […]
元々Gmail Notiferがhttps接続だったし、手動で接続するときもhttps://mail.google.com/を使用してたので、そのままでも問題無かったのですが
一応『常に https を使用する』にしました。
Windows XP SP3
Firefox/3.0.1
Gmail Notiferは正常動作してます。
情報ありがとうございます。私一人では色々検証できませんので助かります。
[…] Gmailユーザーは今すぐSSL接続にしましょう!ハッキングされる前に! | Googl… (tags: tools security Gmail tips ssl) […]
携帯からアクセスできなくなった方は、先にgoogleに行ってからgmailにアクセスしてみて下さい。私はコレで回復しました。
ログインページの修正が最近入ったのかも?です。
レジストの書き換えはどうすればいいですか?
http://mail.google.com/support/bin/answer.py?hl=en&answer=9429
にあるNoteの部分に記載されているリンク(http://www.google.com/mail/help/downloads/notifier_https.zip)からzipファイルをダウンロードして解凍すると.regファイルが出てきます。「notifier_https.reg」をダブルクリックすればレジストリが書き換えられ、httpsでメールをチェックする事が可能になります。
「設定」にはログアウトとオプションとヘルプの3項目。「全般」タグが見つかりません。
ハカタドンさん>まず「設定」リンクをクリックしてください。その後表示されるのが「全般」タブです。
[…] Gmailユーザーは今すぐSSL接続にしましょう!ハッキングされる前に! […]
[…] Gmailユーザーは今すぐSSL接続にしましょう!ハッキングされる前に…sense(グーグルアドセンス)使い方まとめ google ajax news barでお好みのニュースをウェブページに表示 google ajax blog barでブログ検索結果をウェブページに表示 google maps api モバイル googleモ…はてなブックマークよりムーバブルタイプにgoogle adsenseを貼り付ける方法 – ブログ – 教えて …2008年9月10日 … ムーバブルタイプにgoogle adsenseを貼り付ける方法ムーバブルタイプにgoogle adsense を貼り付けたいのですが、コード … さらにMovable Typeらしい使い方をするのであれ ば、アドセンス用のモジュールテンプレートを新規に作成し、…教えてGooよりGoogleサービスをカスタマイズするFirefox拡張機能・スクリプトの…xのステータスバーにアドセンスの収益情報を常に表示するadd-on。 [adsenseプレビューツール] google adsense プレビュー ツールをfirefoxで使う方法 以上で紹介を終わります。 他にも便利なスクリプトがあれば、コメントお願いしま…はてなブックマークよりGmailをマスターしたい人が読むべきエントリー50選 | Google Man…sense(グーグルアドセンス)使い方まとめ google ajax news barでお好みのニュースをウェブページに表示 google ajax blog barでブログ検索結果をウェブページに表示 google maps api モバイル googleモ…はてなブックマークよりAdSenseの達人が教える12のTips – GMania | グーグルの便利…る広告はgoogleアドセンスの“300×250″フォーマットで、それを左コラムのすぐ右に置く。その上に小さなひとまとまりの文章を置き、広告全体がコンテンツに囲まれるようにする。そして、ページが表示された時、スクロールせずに閲覧可能な領域に広告が表示されること…はてなブックマークより 【ホリエモンブログ】で紹介されました!【毎日40万件もの「高額CDリスト」が手に入る!年間1万pips!資金10倍の超絶ノウハウ […]
[…] □iphone サポート …はてなブックマークよりGmailユーザーは今すぐSSL接続にしましょう!ハッキングされる前に…ilユーザーは今すぐssl接続にしましょう!ハッキングされる前に! 管理人 @ […]
Add A Comment