不正アクセスの被害者になったのかよ~分からん話
2020年の年末だったか某サービスが第三者からアクセスされて情報流出とかありましたね。
それの当事者になったのかなってないのか、よ~分からない話です。
気のせいだったらいいね!
2020年末の大規模不正アクセス
不正アクセスのニュースを知ってすぐにサイトで確認した所、私は該当者ではありませんでした。
ですが念のため数文字付け足してパスワードを変更しました。
これは本当にやっておいてよかったと思います。
クレジット請求と引き落とし口座のチェックは毎月やってます。
何かあったらそこで引っかかるだろうと、バタバタした年末年始以後この事件はほとんど忘れかけていました。
不審なメール
無事年も明け2月末頃、迷惑メールフォルダに2通の不審な英文メールが。
通常は時間の無駄なのでこんな所見ないのですが、たまたま他の重要メールが迷惑メールに振り分けられてしまうことがあったので、再登録後チェックしている時期でした。
件名がパスワードそのものだったので、すぐに目についたのを覚えています。
以下、届いたファッキンメールの概要です。
・全く同じ文面、違うアドレスから2通
・アドレスを検索すると海外の物販サイトの1販売者(2021年3月現在、該当の販売者は削除)
----------------------------------------------
件名 : 〇〇〇(某サービスで使用しているパスワード)
これ、おめえのパスワードのひとつだよね。
アダルトサイト見た時にマルウェア仕込んで手に入れたよ。
その時にウェブカメラ操作して、おめえがエロ動画観てる時のアホ面撮っといたぜ。
あ、おめえなかなかいい趣味してんな、それは評価するよ。
2つの選択肢があるよ
1つ目:無視
別にいいけど、その時は親兄弟、友達、取引先17人におめえの動画送ってやるからな
2つ目:5915ドル分をビットコインの口座に振り込む
第三者は介してないからこれで動画削除してやるよ。その辺は信用してくれ
----------------------------------------------
その後は「こちらもおおごとにしたくない…ゴニョゴニョ」とかちょっと気弱な言葉が続きます。
メールが詐欺なのは分かってますがパスワードは本物です。
すぐにパスワードを変えておいたおかげかクレジットの不正利用も今のところありません。
紐づけたポイントカードにはクレジット機能がなく、個人情報も最小限の登録です。
まあ今のところ実害はないのですが漏れたのは確実。不安になりますよね。
私はPCでエロサイトにアクセスもしてませんし、そもそもウェブカメラつけてない。
まあいい趣味してるってほめられたのは素直に嬉しいです。スレンダーサイコー!!
少々話題がそれましたが、時期的に言ったらトレンドマイクロで紹介されていたこれですね。
https://is702.jp/news/3818/
何でパスワード漏れたの?
何らかの原因でパスワードが漏れたのは確実です。
ということでまず自分のPCを疑ってみました。
・常駐のセキュリティソフトで全スキャン → 問題なし。そもそもパスワードはPCに保存していない
・他のサービスで同じパスワードを使っていないか調べる → 類似パスワードが1件あったが、登録メールアドレスが異なる
企業は隠しているがパスワードが漏れて売り買いされていることはあるらしいので、それでしょうね。
対策はやりすぎることはない
以下の対策を行いました。どんだけやっても足りないです。
・今後はポイント利用のみ、クレジット決済は使わない
・メールアドレスの流出元対策(後述)
・パスワードを再度強固なものに変更
・他のサービスもお金と個人情報が絡むものは全てパスワードを変更
よく使ってるパスワード生成サイト : https://www.luft.co.jp/cgi/randam.php
※記号入りで作成したパスワードをさらに並べ替えて文字をつけ足してます
メールアドレスの流出元対策
各サービスの登録メールをGoogleメールに変更し、流出元が分かる対策を行いました(まだやってなかった)。
有名なのでご存じだと思いますが、一応書いておきます。
Googleメールは+と@の間の文字を無視してくれます。
そのため、ここに余分な文字を入れても普通に届きます。これを利用します(実験済)。
@との間に「+サービス名」をつけておくと、届いた詐欺メールを見てどこから流出したかが一目瞭然になるという仕掛けです。
例:obagameあっとgmail.comの場合 ※「あっと」は小文字の@に置き換えて考える
ヤフーに登録するアドレス:obagame+yahooあっとgmail.com
アマゾンに登録するアドレス:obagame+amazonあっとgmail.com
重要なのは「1企業1仕掛けアドレス」です。
相手がバックレても仕掛けアドレスはその企業にしか登録していないため「出とるやんけ!」と強く言えます。
某サービスの対応
期待は全くしていませんが、某サービスのカスタマーサポート掲示板に調査依頼を出しました。
内容の概略です。
「そちらに登録してるパスワード付きの詐欺メール来たよ。例の事件の該当者じゃないのはサイトで確認しました。パスワード流出してる可能性ないですか?」
10日後に届いたメールは期待以上の投げやりな対応でした。
以下、メールの概要です。
----------------------------------------------
心配かけてごめんね。
お問い合わせの件なんだけど、このページを参考にしてください。
(該当してないか何回も確認したページのアドレス)
それから、怪しいメールは開いちゃダメだぞっ!
ここは専門じゃないから、他の人に教えていいかチェックしてこのメール送り返してね!
----------------------------------------------
まあ、まともな返答は期待してませんが…。
たらいまわしの匂いがします。
今後の展開に乞うご期待!
ウイルス対策ソフトのサイトでもありましたが、似たようなメールが同時期に増えたようです。
それらの詐欺メールに添付のパスワードにも、私と同じように「一般ユーザーのパスワード」が含まれていたとしたら、相当に大規模な情報流出があったことを隠してるってことですよね。そうじゃないことを祈ります。
半年~数年ぐらいたってから「やっぱり一般ユーザーもハッキングされてました! 該当者にはお知らせ送るからゴメンしてね!」ってことになりませんように。
読んでくださりありがとうございました。
セキュリティにはお互い気をつけましょう!
ディスカッション
コメント一覧
まだ、コメントがありません