Google Workspace 管理者は、不審なセッション Cookie が原因でユーザーがログアウトされた場合に、メール通知アラートを受け取ることができます。Cookie の盗用(セッション ハイジャック)とは、ユーザーのアカウントへのログイン時に生成された Cookie を使用して、セッション ID を盗むことです。不審なセッション Cookie が検出されると、セッションが終了し、そのセッションおよびデバイス上の関連する不審なセッションのあるアカウントからユーザーがログアウトされます。
ユーザーが同じデバイスで再ログインしようとすると、マルウェアや安全でないソフトウェアの削除を求めるメッセージが表示されます。また、ユーザーはデバイスでアカウントに再度ログインする際に追加の認証手順を使用する必要があります。
セキュリティ調査ツール(SIT)または監査と調査ツールを使用すると、組織内のセッション Cookie を経由したユーザー アカウントの不正使用の試みを特定できます。
手順 1: 調査を開始する
オプション 1: SIT で不審なセッション Cookie を調査する
この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium。エディションを比較する-
Google 管理コンソールで、メニュー アイコン
[セキュリティ] [セキュリティ センター] [調査ツール] に移動します。調査ツールを開くには、セキュリティ センターの管理者権限が必要です。
- [データソース] メニューから [ユーザーのログイベント] を選択します。
- [条件を追加] メニューから [イベント] を選択し、条件が [次に一致](デフォルトのオプション)に設定されていることを確認します。
- [イベント] メニューから [不審なセッション Cookie が原因でユーザーがログアウトしました] を選択します。
- [検索] をクリックします。
検索結果はページの下部に表示されます。
オプション 2: 監査と調査のページで不審なセッション Cookie を調査する
-
Google 管理コンソールで、メニュー アイコン
[レポート] [監査と調査] [ユーザーのログイベント] に移動します。アクセスするには、監査と調査の管理者権限が必要です。
- [フィルタを追加] をクリックし、[イベント] を選択します。
- ポップアップ ウィンドウで、上部のメニューの演算子が [次に一致](デフォルトのオプション)に設定されていることを確認し、下部のメニューから [不審なセッション Cookie が原因でユーザーがログアウトしました] を選択して [適用] をクリックします。
- [検索] をクリックします。
ログがページの下部に表示されます。
手順 2: 措置を講じる
[説明] 列で、[不審なセッション Cookie] をクリックして [ログの詳細] ペインを開きます。各ログには、影響を受けたユーザーが表示されます。影響を受けるユーザーと協力して、マルウェアまたは安全でないソフトウェアを削除する手順を行います。
不正使用されたアカウントを保護する
アカウントの不正使用が疑われる場合、管理者はユーザーのアカウントが安全かどうかを確認できます。影響を受けているユーザーと協力して、不正使用されたアカウントを特定して保護します。