Googleが緊急警告「アカウント乗っ取り防御」──今すぐ見直すべきChrome設定とは

Google アカウントを乗っ取られると、Gmail や YouTube が使えなくなるだけではありません。

Chrome の同期とパスワード保存をフルに使っている人ほど、SNS・ネット銀行・ECサイトまで、オンライン人生のほぼすべてが一気に攻撃者の手に落ちるリスクがあります。

Forbes JAPAN の記事や TechRepublic、MIT のセキュリティ通知などによれば、Google は 2025 年に入り「アカウント乗っ取り（Account Takeover）」の被害が急増し、防御が難しくなっていると警告しています。Forbes JAPAN+2TechRepublic+2

では、Google は何に対して注意を呼びかけているのでしょうか。そして、私たちはどの設定をどう変えればいいのでしょうか？

この記事では、Google 公式ブログや欧米のセキュリティ情報をもとに、そのポイントを初心者でもわかるように整理してみます。

Google が警告している「アカウント乗っ取り」とは何か

今回の文脈で言う「アカウント乗っ取り」は、単にパスワードを盗まれるだけではありません。

TechRepublic の解説では、攻撃者が狙っているのは

ログイン ID・パスワード
多要素認証のコードやトークン
ブラウザに保存されたセッション Cookie（ログイン状態を保つ情報）

といった、ログインまわりのあらゆる情報だと説明されています。TechRepublic+1

特に問題なのは、Chrome で Google アカウントにサインインし、同期をオンにしている場合です。ブックマークや履歴だけでなく、保存されたパスワード、クレジットカード情報、住所、電話番号などが Google アカウントに紐づいたクラウド上にコピーされています。TechRepublic+1

一度 Google アカウントを乗っ取られると、攻撃者は

Chrome に保存された他サイトのパスワード一覧
オートフィルに登録したカード情報・住所
ログイン済みセッションを維持する Cookie

といった“鍵束”をまとめて奪うことができる。
つまり、「Google アカウント＝あなたのオンライン人生のマスターキー」になってしまっているのです。

いま実際に起きている攻撃：パスワードだけでなく Cookie やトークンも狙われている

MIT の SHASS IT が出した注意喚起では、「Chrome を同期し、パスワードも保存している Gmail ユーザー」が特に危険にさらされていると警告しています。Shass IT

典型的な流れはこうです。

メールや SMS、偽サイト、偽サポート電話などで、ユーザーにリンクをクリックさせたり、添付ファイルを開かせたりする。そこからマルウェア（情報窃取型の「インフォスティーラー」など）が入り込み、ブラウザ内の Cookie やパスワードデータベースを盗み出します。

このときに狙われるのは、Google アカウントだけではありません。攻撃者は

Chrome が保存している他サイトのパスワード
ログイン状態を保っているセッション Cookie
多要素認証を一時的にスキップできるトークン

といった“ログイン周りの便利機能”そのものを盗んで悪用します。CSO Online+2The Verge+2

たとえば、ある著名 YouTuber のアカウント乗っ取り事件では、Cookie だけが盗まれ、パスワードを変えてもログイン状態を維持できていたため、チャンネルを勝手に乗っ取られた事例も報告されています。The Verge

つまり、
「パスワードはバレていないから大丈夫」ではなく、
「ブラウザの中身そのものが抜かれたらアウト」
というのが、いまの現実です。

Google オフィシャルの見解と新しい防御策

こうした状況を踏まえて、Google 公式は「アカウント乗っ取り」対策を強化すると同時に、ユーザーへ注意喚起を行っています。

パスワードから「パスキー」へ

Google Workspace ブログでは、パスワード依存からの脱却として、パスキー（Passkey）の普及を強く推しています。Google Workspace+1

パスキーは、端末内の生体認証やデバイス鍵を使ってログインする仕組みで、

フィッシングサイトに入力しても意味がない
推測や総当たり攻撃に弱くない
入力ミスも少なく、ログインが速い

といったメリットがあります。Google によれば、パスキーによるログインはパスワードよりも約 40% 速く、フィッシング耐性も高いとしています。TechRepublic+1

Device Bound Session Credentials（DBSC）

もうひとつの大きな柱が、Device Bound Session Credentials（DBSC） です。

これは簡単にいうと、「ログイン後の Cookie を、特定のデバイスに縛りつけてしまう仕組み」です。The Verge の解説によれば、DBSC は、攻撃者が Cookie ファイルだけを盗んでも、別の端末では再利用できないようにすることで、Cookie 盗難型のアカウント乗っ取りを防ぐ狙いがあります。The Verge+1

「鍵（Cookie）を盗んでも、その鍵が使えるドア（端末）は本人の PC だけ」
というイメージを持つとわかりやすいと思います。

Cookie の暗号化強化

Google のセキュリティブログでは、Chrome 127 以降で Windows 上の Cookie 暗号化を強化し、アプリごとにバインドされた暗号化を導入していることも説明しています。Google Online Security Blog

これにより、同じユーザー権限で動く別アプリからの Cookie 盗み見行為を、より難しくしようとしています。

「多要素認証の質」を上げる

さらに Google と各国のサイバーセキュリティ機関は、SMS コードのような弱い多要素認証から、

パスキー
認証アプリ（Google 認証システムなど）
物理セキュリティキー（FIDO2 対応キー）

といった方法への移行を推奨しています。TechRepublic+1

「二段階認証を入れているから安心」ではなく、その中身の強度が問われる時代になった、ということですね。

問題点：なぜここまで危険なのか？

Google のエコシステム＋Chrome の組み合わせは、便利さの塊です。

Gmail、Google フォト、Google ドライブ、YouTube、カレンダー、そして Chrome に保存された他社サービスのパスワード……
これらがすべて「ひとつの Google アカウント」と「Chrome の同期」の上に乗っています。TechRepublic+1

つまり、

「便利さのために、鍵束を全部 1 本のマスターキーにまとめてしまった」

状態になっているのが最大の問題です。

さらに、ブラウザ内蔵パスワードマネージャーは確かに昔より安全になりましたが、オペレーションの観点（OpSec）ではリスクが残ると、Wired やセキュリティ専門家も指摘しています。デバイスが乗っ取られたり、Google アカウント自体が突破された場合、そこから全パスワードが抜かれるリスクはゼロではありません。WIRED+1

MIT の注意喚起でも、「特に金融機関や投資口座、クレジットカードなどは Chrome に保存しない方がよい」とまで書かれています。Shass IT

今すぐできる「具体的な守り方」── Chrome と Google アカウントの実践的チェックポイント

最後に、実際にどう設定を変えれば良いかを、なるべく手順をイメージしやすい形でまとめます。

Chrome 同期を“全部オン”にしない

Forbes や TechRepublic、MIT の情報を総合すると、まず見直すべきは Chrome の同期設定 です。Forbes JAPAN+2TechRepublic+2

Chrome の設定画面から

「同期」または「同期と Google サービス」へ進む
「すべてを同期」ではなく「同期内容を管理」や「カスタマイズ」を選ぶ
パスワード、支払い情報、住所など“乗っ取られたくない情報”の同期をオフにする

という流れで、「クラウドに上げる量を意識的に減らす」ことが第一歩になります。

もう一段踏み込むなら、思い切って Chrome 同期そのものをオフにし、Google アカウントからサインアウトした上で、Google アカウントに保存されている同期データを削除してしまう、という選択肢もあります。Shass IT+1

ブラウザのパスワード保存に“なんでもかんでも”頼らない

すべてのサービスのパスワードを Chrome に保存していると、乗っ取り時の被害が最大化します。

金融系（銀行、証券、クレカ、仮想通貨）
本名・住所・支払い情報が大量に紐づく主要 EC サイト

くらいは、あえてブラウザには保存せず、別のパスワードマネージャーや手元の管理方法に切り替える、というのも現実的なリスク低減になります。Shass IT+1

パスキーと“ちゃんとした”多要素認証に切り替える

Google アカウントのセキュリティ設定画面から、サインイン方法を確認し、可能であれば

パスキー（スマホの生体認証など）を有効化
SMS コードではなく、認証アプリや物理キーに切り替え

といった形で、多要素認証の質を引き上げておくと、フィッシングやパスワード流出時の踏ん張りが効きます。Google Workspace+1

Chrome と OS を常に最新に保つ

今回の話と直接関係するわけではありませんが、Chrome 自体の脆弱性（ゼロデイ）を突いて端末ごと乗っ取ろうとする攻撃も確認されています。CSO Online+1

「勝手にアップデートされているはず」と油断せず、

Chrome の「ヘルプ」→「Google Chrome について」でバージョン確認
アップデートが来ていたら再起動まできちんと行う

という習慣をつけるだけでも、リスクはかなり減ります。

「怪しい連絡は全部ニセモノと思え」というマインドセット

最後は設定ではなく、人間側のアップデートです。

MIT の注意喚起が強調しているのは、ほとんどの攻撃はユーザーの「クリック」から始まるという現実です。Shass IT+1

銀行、警察、宅配業者、Apple や Google を名乗るメールや SMS が来ても、まずは一度深呼吸して、

メールや SMS のリンクからではなく、自分で公式サイトや公式アプリを開く
電話なら一度切って、公式サイトに載っている番号にかけ直す

という習慣をつけることが、一番効きます。

まとめ：便利さと引き換えに「全部まとめて危険」になっていないか？

Google と Chrome の組み合わせは、日常生活や仕事を驚くほど便利にしてくれました。

しかしその一方で、
「すべてを 1 つのアカウントとブラウザに集約した代償」 として、
乗っ取りが発生したときの被害が、以前よりはるかに大きく、複雑になっています。

今回の Google の注意喚起は、ただ Chrome の設定を一つ変えれば済む話ではなく、

どこまでクラウドに預けるのか
どこまでブラウザに覚えさせるのか
どこから先は自分で守るのか

という、“自分のデジタル生活の線引き”を見直してほしい、というメッセージでもあります。