2019年12月17日火曜日

【G Suite専用】2021年2月15日以降、Google OAuth2 非対応アプリでGoogleアカウントが使えなくなる

まず最初にG Suite アカウントに限定した話です。とはいえ将来的には無料版アカウントに波及しないとはいえませんね、セキュリティ強化の話ですので。

さて、G Suite 管理者宛にGoogleより通知がきました。
  • Starting February 15, 2021, G Suite accounts will only allow access to apps using OAuth. Password-based access will no longer be supported.
という内容です。これについては、2019年12月16日(米国時間)において
に公式情報が出ています。これによると2段階ステップで Google Auth2非対応アプリ(Less Secure Apps, 以下 LSA)による Googleアカウントのアクセスを禁止するという内容です。最近のゲーム等 Googleアカウントによるログインが必要なシステムは、Google Auth2 を基本的には使っているように見えます。しかし Outlook 2016のような Google Auth2に対応しておらず、「安全性の低いアプリからのアクセスを許可する」をしないと接続できない場合には、2021年2月15日以降は使えないということになります。これはかなりインパクトのあることだと思います。内容をよく見ると次のことのようです。

第1段階:2020年6月15日


この日付以降に初めて LSA からGoogleアカウントに接続する場合(新規セットアップとか)、 Googleアカウントにログインできなくなるため設定できないということになります。すでに設定済みの場合には、第2段階の完全廃止(2021年2月15日)までは使えるようですね。

第2段階:2021年2月15日


すべてのケースについて、LSAから Googleアカウントへの接続ができなくなります。第1段階以前に設定していた場合もすべてです。したがってこの日までに、Google Auth2 対応のアプリへ切り替える必要があります。

「アプリ固有のパスワード」(2段階認証ON)は影響をうけるのか(2020年3月6日追記)


アプリ固有のパスワードも、OAuth2 非対応であることには代わりありません。ならば、これも影響をうけるのか。G Suite管理者の一人として大きな問題なので Googleサポートに聞いてみました。結果として、「現時点では影響をうけず、対象外。しかし今後わからない」という回答でした。
まぁセキュリティの観点からは、個別パスワードとはいえこれも使えなくしたいのだろうなぁとは個人的に思います。ともあれ、これで選択肢は増えました。
すなわち

1. 2段階認証を有効にしてアプリ固有のパスワードを使ってもらう
*2段階認証促進にもなるので、そちらを優先する

2. アプリ固有のパスワードもいつだめになるかわからないので、この際すべて駄目だということにして対応する

ということですね。

具体的な影響例


G Suite 管理者宛に通知された内容からは
  1. Outlook 2016 あるいはそれ以前のバージョン
  2. Thunderbird やそれ以外の電子メールソフトの場合、IMAP + OAuth 認証設定に切り替えること
  3. iOS, MacOSのメールアプリの場合、一度アカウントを削除して再登録が必要
  4. CalDAV を使ってカレンダーアプリは、OAuthに対応する必要があり。
  5. iOS, macOS のカレンダー(Apple純正)をつかう場合には、一度アカウントを削除して再登録が必要
実際にテストすると Windows版Outlook 2016も 2019も OAuth2に対応していない模様(Mac版Outlookは対応しているのに)。出来るとウェブサイトにあるのですが、手持ちのいくつかでは出来ない例ばかり。このあたりが不安定だと Windows版Outlook で Gmailの送受信をするのは安定性にかけるなぁという感じですね。

いずれにせよ2段階認証を促進せざるをえなくなる。スマホやタブレット、ガラゲーすらもっていない人たちもいるなかで、セキュリティキーなど2段階認証の認証方式をどうしていくのかが課題だなぁと思いました。

また macOS も古いバージョンだと OAuth2 に対応してない場合があり、そうなると標準のメールアプリではGmailの送受信ができなくなりますね。

Gmailの送信サーバーを使うウェブサービスも影響をうける


無料版Gmailは対象外なのでそこまで影響は大きくないだろうと思いますが、たとえばメールサーバーを用意していないウェブサーバー上のウェブサイトで問い合わせフォームなどを設定している場合、Gmailの送信サーバーをG Suiteアカウントで使えなくなる可能性が高い(OAuth2非対応の場合)ということになりますね。具体的には、WordPress のサイトの場合、


のような設定は無理(OAuth2非対応のため)になるってことです。
まぁ無料版Gmailは使えますけどね(G Suite のGmailのみがだめになる)。

もちろん、2段階認証を有効にしてアプリ固有のパスワードを発行すればいいのですが、それはそれでかなりの手間になります。これは痛い。私も送信サーバーのない外部Webサーバーをいくつか使っており、送信にはプラグインで G Suite のGoogleアカウントを使って Gmail のSMTPサーバーを使っているのですよね。まぁ DNSのMXレコードを変更してオンプレミスのSMTPサーバーを使ってもいいんですけど、オンプレミスのSMTPサーバーはできれば廃止したいなぁと思っているのですよね、、うーん。

Gmail SMTPプラグインだと、OAuth2 対応しているっていっているのでこういうものへの切り替えがいいのかなぁ。

とまぁ影響が大きんです。猶予まであと1年少し。少し悩まないとだめですねぇ。

2020年3月6日 加筆修正
2019年12月17日 @kimipooh

0 件のコメント:

コメントを投稿