【Googleアカウント】Googleアカウントで監査ログに不審な操作が出た時の確認手順

Googleアカウントの監査ログ(管理コンソールの監査レポートやアカウントのアクティビティページ)に身に覚えのない操作が記録されていると、アカウントが不正利用されているのではないかと不安になります。会社の業務で使用しているGoogleアカウントであれば、情報漏えいやサービス停止のリスクも発生するため、迅速な確認が必要です。監査ログに表示される操作の多くは正常なものですが、明らかに異常なアクセスや設定変更を見つけた場合の対応手順を知っておくと、被害を最小限に抑えられます。本記事では、監査ログで不審な操作を発見した時の具体的な確認手順と、管理者が取るべきアクションを解説します。

1. 監査ログの種類と見るべきポイント

Googleアカウントの監査ログは主に2つの場所で確認できます。Google Workspace管理者であれば管理コンソールの「レポート」→「監査と調査」から各種監査ログを参照できます。個人のGoogleアカウント(一般ユーザー)の場合は、Googleアカウントの「管理」→「セキュリティ」→「最近のセキュリティアクティビティ」で直近の操作を確認できます。不審な操作を見つけたら、以下の項目を確認してください。

確認すべき主要な監査ログの種類

管理コンソールで利用できる監査レポートには、管理者監査、ログイン監査、トークン監査、OAuth監査などがあります。不審な操作が疑われる場合、特にログイン監査と管理者監査が重要です。ログイン監査では、ログイン成功/失敗、IPアドレス、ユーザーエージェントが記録されます。管理者監査では、管理者による設定変更やユーザー作成などの操作が記録されます。

2. 不審な操作を発見した際の確認手順

監査ログに不審な操作が記録された場合、まずはそれが本当に不正なのか、誤検知なのかを切り分ける必要があります。以下の手順で確認を進めてください。

1. 操作の詳細を記録する。管理コンソールの監査ログから、操作の種類、日時、IPアドレス、ユーザーエージェント、操作を行ったアカウントをスクリーンショットまたはCSVで保存します。後で管理者やGoogleサポートに提出する証拠になります。
2. IPアドレスと場所を確認する。IPアドレスからおおよその地域を特定します(例:DomainToolsなどを利用)。勤務時間外や海外からのアクセスがあれば、VPNサービスやモバイル回線の利用を考慮した上で判断します。自社の固定IPアドレスリストと突き合わせてください。
3. ユーザーエージェントを確認する。ユーザーエージェントの文字列からOSやブラウザ、デバイスが分かります。社内で標準的に使っている端末と一致するか確認します。未知のデバイスや古いOSバージョンは要注意です。
4. 操作の内容と権限を評価する。例えば、パスワード変更や2段階認証の設定変更、転送設定の追加など、セキュリティに直結する操作は特に重要です。Google Workspaceの場合、管理者権限の昇格や譲渡も警戒します。
5. 該当ユーザー本人に確認する。可能であれば、操作が行われた時間帯にそのユーザーが何をしていたか聞き取りします。意図的な操作なのか、自動化ツールや拡張機能の影響なのかを明確にします。
6. Google Workspaceの調査ツールを利用する。管理コンソールの「セキュリティ」→「調査ツール」から、特定のユーザーのメールログ、ドライブログ、ログイン履歴を詳細に検索できます。また「セキュリティセンター」で傾向分析も可能です。

3. よくある失敗パターンと判断基準

監査ログの解釈を誤ると、正常な操作を不正と判断してしまったり、逆に不正を見逃したりするリスクがあります。以下に典型的な失敗パターンを紹介します。

誤った判断の例

例えば、自社の代理店が海外からアクセスしているにも関わらず、単純に「海外IP=不正」と決めつけてしまうケースです。正当なリモートワーカーや出張中の従業員の操作を誤ってブロックしないよう、事前に社内の利用者リストやIPアドレス帯域を整理しておく必要があります。また、Google Workspaceでは「Google IPアドレス範囲」からのアクセスが記録されることもあります。これはGoogleのサービスのバックグラウンド処理によるもので、不正ではない場合があります。

不正操作を疑うべき具体的な兆候

以下のようなパターンは不正の可能性が高いため、早急な対応が必要です。

• ・勤務時間外(深夜早朝)に管理者権限の操作が行われている。
• ・短時間に複数の異なる国からログイン成功している。
• ・パスワード変更や2段階認証の登録/解除が連続して行われている。
• ・知らないアプリケーション(OAuthクライアント)がデータアクセス権限を得ている。
• ・複数ユーザーのアカウントで同時期に同様の操作が発生している。

4. 管理者が取るべきアクションと対処手順

不審な操作が不正と判断された場合、管理者は被害を最小化するために迅速に対処します。以下に対処手順を示します。

1. 該当アカウントを直ちに停止する。管理コンソールの「ディレクトリ」→「ユーザー」から該当ユーザーを選択し、「ユーザーの停止」を実行します。これにより新たな操作を防ぎます。ただし、重要な業務アカウントの場合は影響を考慮し、事前に関係者に連絡してください。
2. パスワードをリセットし、セッションを無効化する。ユーザーのパスワードを強制リセットし、すべてのデバイスのセッションを切断します。管理コンソールの「ユーザー」→「セキュリティ」→「すべてのデバイスからログアウト」を実行します。
3. 2段階認証を強制し、バックアップコードを更新する。2段階認証が未設定の場合は有効にし、設定済みの場合はバックアップコードを再発行します。また、認証アプリや電話番号の変更がないか確認し、不審な項目があれば削除します。
4. OAuthアプリのアクセス権限を確認し、不要なものを削除する。「セキュリティ」→「APIコントロール」→「サードパーティアプリのアクセス」から、身に覚えのないアプリを削除します。特に「機密性の高い権限」が付与されているアプリは注意が必要です。
5. Google Workspaceの監査ログを確認し、影響範囲を調査する。同様の操作が他のアカウントでも発生していないか、操作の開始時期を特定します。必要に応じて、Googleサポートに連絡し、追加の調査や復旧を依頼します。
6. 社内に報告し、再発防止策を検討する。インシデントとして記録し、全社的な注意喚起やパスワードポリシーの強化、多要素認証の義務化、アクセス制限の見直しを行います。

5. よくある質問(FAQ)

Q1: 監査ログに「Admin activity」という操作が記録されているが、管理者は自分だけです。不正ですか?

必ずしも不正とは限りません。Google Workspaceの自動バックグラウンド処理(例:データ移行、システムメンテナンス)や、管理者自身が気付かずに行った操作(ブラウザ拡張機能による自動操作など)である可能性もあります。まずは操作詳細の「Application name」と「Caller IP」を確認し、GoogleのIP範囲(https://www.gstatic.com/ipranges/goog.txt)と一致するか確認します。不明な場合はGoogleサポートに問い合わせてください。

Q2: ログイン監査に成功ログインがあるが、その時刻に自分はログインしていません。どうすればよいですか?

パスワードが漏洩している可能性が高いです。直ちにパスワードを変更し、2段階認証を有効にしてください。また、アカウントの「セキュリティ」→「デバイスとアクティビティ」から「すべてのログアウト」を実行します。Google Workspaceの管理者であれば、該当ユーザーのアカウントを一時停止した上で調査します。

Q3: 監査ログには不審な操作が見当たらないが、アカウントの動作がおかしい(勝手にメールが送信されるなど)。原因は?

監査ログに記録されない操作として、メール転送設定の変更やフィルタの作成、拡張機能による操作などがあります。Gmailの設定画面で「転送とPOP/IMAP」や「フィルタとブロック中のアドレス」を確認してください。また、ブラウザの拡張機能や端末のマルウェアが原因のこともあるため、端末のセキュリティチェックも併せて行ってください。

Q4: 個人のGoogleアカウント(@gmail.com)で不審な操作が見つかりました。会社のアカウントとの違いは?

個人アカウントの場合は管理者がいないため、自分で全ての対応を行う必要があります。パスワード変更、2段階認証の設定、セッションの無効化、アプリ連携の解除などを自分で実行します。また、Googleセキュリティチェックを実施し、不審な端末やアプリがないか確認してください。

まとめ

Googleアカウントの監査ログで不審な操作を見つけた場合は、まず落ち着いて操作の詳細を確認し、本人によるものか第三者によるものかを切り分けることが重要です。IPアドレスやユーザーエージェント、日時を手がかりに、正常な操作か不正な操作かを判断します。不正な場合は該当アカウントを直ちに停止し、パスワードリセットや2段階認証の強制、OAuthアプリの見直しを行ってください。また、再発防止のために社内のセキュリティポリシーを強化し、定期的な監査ログの確認を行うことを推奨します。本記事の手順を参考に、迅速かつ適切な対応を心がけてください。