G Suite block LSA
Googleは12月16日(現地時間)、ユーザー名とパスワードのみでGoogleアカウントにアクセスできる安全性の低いアプリ(LSAs : Less Secure Apps)について、2020年6月からアクセスを制限すると発表しました。代わりに、WEBサービスで広く用いられているOAuthを利用するようにと呼びかけています。

この制限を実施する理由は、セキュリティの問題です。ユーザー名とパスワードのみでアクセスできるアプリでは、アカウントハイジャックなどの危険性も高まります。その点、ログインに関して資格検証などを行うOAuthプロトコルはより安全であり、こちらを使ってほしいということです。

Googleは2017年から、LSAsのアクセスに対しては警告画面を表示するなどしていましたが、2020年6月15日以降は、アクセスそのものがブロックされます。ただし、この日付以前にアクセスしていたユーザーは、引き続き利用可能です。そして、2021年2月15日以降は、すべてのLSAsのアクセスが無効になり、それまでユーザー名とパスワードのみでアクセスしていた場合には、アカウントの再登録が必要になります。

この制限により、CalDAV、CardDAV、IMAP、Exchange ActiveSync(Google Sync)などのプロトコルを使うアプリが影響を受けるとしています。とくにCalDAVは多くのカレンダーアプリが利用していると考えられるため、影響範囲は大きそうです。

なお、ThunderbirdやiOSのメールアプリも対象ですが、こちらはすでにOAuthをサポートしており、一旦アカウントを削除し、OAuthを使用するアカウントタイプとして再登録すれば、継続して利用可能です。