「あなたのパスワードを奪取した」本当の情報漏洩を元にしたスパムメールのからくりとその対策について

2018.10.16

Firefox Monitor

英語で割とあった「あなたのパスワードを奪取した」系スパム、日本語でも送信され始めているよう。
中には丁寧にメール件名にパスワードを記載して送ってくるという、受信者をどっきりさせてやろうという気概が感じられるものもある。

この手のスパム(スパムだよ!)に記載されているパスワードは概ね正解。
じゃあなぜ正しいパスワードが表示されているかというと「パスワードが漏洩しているから」!
そう、私のパスワードもあなたのパスワードも漏洩しています…

じゃあ何のパスワードが流出したかというと、ざっと検索しただけで以下の事例がある。
もちろんこの事例に登録したパスワード全てが流出したわけではないけれども、他で漏れている可能性もある。

  • 楽天(2005年7月)
  • ヤフージャパン(2013年5月)
  • Adobe(2013年10月)
  • ベネッセ(2014年7月)
  • Gmail(2014年9月)
  • LinkedIn(2016年5月)
  • Facebook(2018年9月)
  • 社員情報(ソニー、東芝、トヨタ他)

これだけ漏れていれば、どこかで自分も漏れていると思わざるを得ないと思うしかない有名サービスの情報漏洩っぷり。
ちなみに私は上記だけで最大5つ漏れている事になる。。。

確か楽天、ヤフーの情報漏洩くらいまでは大々的に報道されたけど、その後はマスコミが慣れたのか気遣いが発生したのか大きく報じられないようになってきた。
そうでなくても、クレジットカード情報の漏洩は報じられてもメアド&パスワードだけならいいや…と考える人が多いように思う。

漏れたパスワードはどこかで公開されていたり、取引されている訳でまわりまわってスパムメールとなって自分に返ってくる。
「あなたのパスワードを奪取した」系のスパムの正体は、情報漏洩されたメアド&パスワードだ。

メアド&パスワードが漏れてもお金を盗られるわけじゃない…と思っているかもしれない。
でも考えてみて欲しい。
殆どの人がパスワードの使いまわしをしている、という事実を。

例えば、無課金ユーザが多数のFacebookでメアド&パスワードが漏洩。
そのメアド&パスワードの組み合わせで楽天でログイン可能なら、あっという間に不正利用されてしまう。
パスワード変更されてアカウントロック、保存したクレジットカードで買い物放題…などという事も考えられるのだ。

「あなたのパスワードを奪取した」スパムの、少額を詐取&スパイウェア混入も怖いけど、不正利用だって怖い。
やっぱり情報漏洩は怖いなあと思う。

で、個人が取れる対策って何だろうと考えると…

  • 情報漏洩しているかどうかの確認
  • 漏れたパスワードを使っているアカウントはパスワード変更
  • アンチウイルスソフト導入(スマホもね!)

このあたりがすぐできるのかな、と思う。

情報漏洩しているかどうかの確認

これについては最近、便利なサービスが始まった。

「Firefox Monitor」 https://monitor.firefox.com/
メールアドレスを入れるだけ

【関連記事】情報漏えい被害が確認できる「Firefox Monitor」
https://pc.watch.impress.co.jp/docs/news/1144860.html

Firefoxが提供しているから信頼度も高いという事で英語だけどやってみる価値あり。
国内のサービスには対応していないのが難点だけど、最近は日本語化されているけど海外のサービスも多いし。。。

ちなみに私の結果はこれ

Firefox Monitor結果

Discus?

けっこう漏れている。
さらにDiscusなんていつ登録したかすら覚えていない…酷い話である。

上記で漏れているパスワードは早々に変更した方が良さそうだ。

漏れたパスワードを使っているアカウントはパスワード変更

漏れた先のパスワード変更は当たり前として、同じパスワードを使っているアカウントは全部変えておいた方がよさげだ。
私はパスワード管理ソフトを使っているので、同じメアド&パスワードを使っているアカウントを調べてガンガン変えていく。
これで、流出したものは仕方ないとしてもそれ以上の被害を防ぐことができる。

あと、既に「あなたのパスワードを奪取した」系のスパムが届いちゃっている人は(私だ)そこで指摘されたパスワードを使っているアカウントを漏れなくパスワード変更しておいた方がいいね。
スパムもたまには役に立つ。

アンチウイルスソフト導入(スマホもね!)

なぜパスワード流出にアンチウイルスソフトなのかというと、
上記のようなスパムから流出する他に、ウイルスやスパイウェア等経由で流出する場合があるから。
また、焦ってスパムやら怪しげなサイトを見てしまった時にウイルス等に感染しないための対策にもなる。
海外のTipsとスパムは紙一重…というか、英語力がそこまでないのでうっかり感染は私の場合やっぱりある(涙)
それを水際で防ぐためにもやっぱりアンチウイルスソフトは必要だと思うのだ。

アンチウイルスソフトは、私はウイルスバスターを使っているけどなるべく常時監視型のものでスマホにも入れる。
携帯からInternetにつないでいた時代と違ってスマホもスパムやウイルスの標的になる可能性があるので私はスマホもセキュリティ入れるのが推奨。
ウイルスバスターは1つ契約すると3台までインストール可能なので、私はPC1台スマホ1台に導入している(家用タブレットは家のLANでしかつながないので入れていない)。
スマホで毎日スキャン情報が来るのがちょっとウザいけど、公衆無線LANを拾う可能性の高いスマホは用心するに越したことはない、と思う。

私は外出先でもPCを公衆無線LANにつなぐことはしないけど、スマホはする時があるのでウイルスバスターは必須だなと思ってる。

ウイルスバスターに興味がある人はこちらから。

仕事でやる身としてはこれくらいやっておかないと夜も眠れない。

コメント

タイトルとURLをコピーしました