Google Workspace 管理者は、不審なセッション Cookie が原因でユーザーがログアウトされた場合に、メール通知アラートを受け取ることができます。Cookie の盗用(セッション ハイジャック)とは、ユーザーのアカウントへのログイン時に生成された Cookie を使用して、セッション ID を盗むことです。不審なセッション Cookie が検出されると、セッションが終了し、そのセッションおよびデバイス上の関連する不審なセッションのあるアカウントからユーザーがログアウトされます。
ユーザーが同じデバイスで再ログインしようとすると、マルウェアや安全でないソフトウェアの削除を求めるメッセージが表示されます。また、ユーザーはデバイスでアカウントに再度ログインする際に追加の認証手順を使用する必要があります。
セキュリティ調査ツール(SIT)または監査と調査ツールを使用すると、組織内のセッション Cookie を経由したユーザー アカウントの不正使用の試みを特定できます。
手順 1: 調査を開始する
オプション 1: SIT で不審なセッション Cookie を調査する
調査ツールでユーザーのログイベントのデータソースをサポートするエディション:
Enterprise Plus、Education Plus、Cloud Identity Premium、Enterprise Standard、Education Standard
-
-
管理コンソールで、メニュー アイコン
[セキュリティ]
[セキュリティ センター]
- [データソース] メニューから [ユーザーのログイベント] を選択します。
- [条件を追加] メニューから [イベント] を選択し、条件が [次に一致](デフォルトのオプション)に設定されていることを確認します。
- [イベント] メニューから [不審なセッション Cookie が原因でユーザーがログアウトしました] を選択します。
- [検索] をクリックします。
検索結果はページの下部に表示されます。
オプション 2: 監査と調査のページで不審なセッション Cookie を調査する
-
-
管理コンソールで、メニュー アイコン
- [フィルタを追加] をクリックし、[イベント] を選択します。
- ポップアップ ウィンドウで、上部のメニューの演算子が [次に一致](デフォルトのオプション)に設定されていることを確認し、下部のメニューから [不審なセッション Cookie が原因でユーザーがログアウトしました] を選択して [適用] をクリックします。
- [検索] をクリックします。
ログがページの下部に表示されます。
手順 2: 措置を講じる
[説明] 列で、[不審なセッション Cookie] をクリックして [ログの詳細] ペインを開きます。[不審] の行が [True] の場合は、影響を受けるユーザーがマルウェアまたは安全でないソフトウェアを削除する手順を行えるようサポートします。
不正使用されたアカウントを保護する
アカウントの不正使用が疑われる場合、管理者はユーザーのアカウントが安全かどうかを確認できます。問題が発生しているユーザーと協力して、不正使用されたアカウントを特定して保護します。
