不正アクセスの被害者になったのかよ～分からん話

2021年3月11日

2020年の年末だったか某サービスが第三者からアクセスされて情報流出とかありましたね。
それの当事者になったのかなってないのか、よ～分からない話です。
気のせいだったらいいね！

2020年末の大規模不正アクセス

不正アクセスのニュースを知ってすぐにサイトで確認した所、私は該当者ではありませんでした。
ですが念のため数文字付け足してパスワードを変更しました。
これは本当にやっておいてよかったと思います。

クレジット請求と引き落とし口座のチェックは毎月やってます。
何かあったらそこで引っかかるだろうと、バタバタした年末年始以後この事件はほとんど忘れかけていました。

不審なメール

無事年も明け２月末頃、迷惑メールフォルダに２通の不審な英文メールが。

通常は時間の無駄なのでこんな所見ないのですが、たまたま他の重要メールが迷惑メールに振り分けられてしまうことがあったので、再登録後チェックしている時期でした。

件名がパスワードそのものだったので、すぐに目についたのを覚えています。
以下、届いたファッキンメールの概要です。

・全く同じ文面、違うアドレスから２通
・アドレスを検索すると海外の物販サイトの１販売者（2021年３月現在、該当の販売者は削除）

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

件名　：　〇〇〇（某サービスで使用しているパスワード）

これ、おめえのパスワードのひとつだよね。

アダルトサイト見た時にマルウェア仕込んで手に入れたよ。
その時にウェブカメラ操作して、おめえがエロ動画観てる時のアホ面撮っといたぜ。

あ、おめえなかなかいい趣味してんな、それは評価するよ。

２つの選択肢があるよ
１つ目：無視
別にいいけど、その時は親兄弟、友達、取引先17人におめえの動画送ってやるからな

２つ目：5915ドル分をビットコインの口座に振り込む
第三者は介してないからこれで動画削除してやるよ。その辺は信用してくれ

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

その後は「こちらもおおごとにしたくない…ゴニョゴニョ」とかちょっと気弱な言葉が続きます。
メールが詐欺なのは分かってますがパスワードは本物です。

すぐにパスワードを変えておいたおかげかクレジットの不正利用も今のところありません。
紐づけたポイントカードにはクレジット機能がなく、個人情報も最小限の登録です。
まあ今のところ実害はないのですが漏れたのは確実。不安になりますよね。

私はPCでエロサイトにアクセスもしてませんし、そもそもウェブカメラつけてない。
まあいい趣味してるってほめられたのは素直に嬉しいです。スレンダーサイコー!!

少々話題がそれましたが、時期的に言ったらトレンドマイクロで紹介されていたこれですね。
https://is702.jp/news/3818/

何でパスワード漏れたの？

何らかの原因でパスワードが漏れたのは確実です。
ということでまず自分のPCを疑ってみました。

・常駐のセキュリティソフトで全スキャン　→　問題なし。そもそもパスワードはPCに保存していない
・他のサービスで同じパスワードを使っていないか調べる　→　類似パスワードが１件あったが、登録メールアドレスが異なる

企業は隠しているがパスワードが漏れて売り買いされていることはあるらしいので、それでしょうね。

対策はやりすぎることはない

以下の対策を行いました。どんだけやっても足りないです。

・今後はポイント利用のみ、クレジット決済は使わない
・メールアドレスの流出元対策（後述）
・パスワードを再度強固なものに変更
・他のサービスもお金と個人情報が絡むものは全てパスワードを変更

よく使ってるパスワード生成サイト　：　https://www.luft.co.jp/cgi/randam.php
※記号入りで作成したパスワードをさらに並べ替えて文字をつけ足してます

メールアドレスの流出元対策

各サービスの登録メールをGoogleメールに変更し、流出元が分かる対策を行いました（まだやってなかった）。
有名なのでご存じだと思いますが、一応書いておきます。

Googleメールは＋と＠の間の文字を無視してくれます。
そのため、ここに余分な文字を入れても普通に届きます。これを利用します（実験済）。

＠との間に「＋サービス名」をつけておくと、届いた詐欺メールを見てどこから流出したかが一目瞭然になるという仕掛けです。

例：obagameあっとgmail.comの場合　※「あっと」は小文字の＠に置き換えて考える

ヤフーに登録するアドレス：obagame+yahooあっとgmail.com
アマゾンに登録するアドレス：obagame+amazonあっとgmail.com

重要なのは「１企業１仕掛けアドレス」です。
相手がバックレても仕掛けアドレスはその企業にしか登録していないため「出とるやんけ！」と強く言えます。

某サービスの対応

期待は全くしていませんが、某サービスのカスタマーサポート掲示板に調査依頼を出しました。

内容の概略です。
「そちらに登録してるパスワード付きの詐欺メール来たよ。例の事件の該当者じゃないのはサイトで確認しました。パスワード流出してる可能性ないですか？」

10日後に届いたメールは期待以上の投げやりな対応でした。
以下、メールの概要です。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

心配かけてごめんね。

お問い合わせの件なんだけど、このページを参考にしてください。
（該当してないか何回も確認したページのアドレス）

それから、怪しいメールは開いちゃダメだぞっ!

ここは専門じゃないから、他の人に教えていいかチェックしてこのメール送り返してね！

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

まあ、まともな返答は期待してませんが…。
たらいまわしの匂いがします。

今後の展開に乞うご期待！

ウイルス対策ソフトのサイトでもありましたが、似たようなメールが同時期に増えたようです。

それらの詐欺メールに添付のパスワードにも、私と同じように「一般ユーザーのパスワード」が含まれていたとしたら、相当に大規模な情報流出があったことを隠してるってことですよね。そうじゃないことを祈ります。

半年～数年ぐらいたってから「やっぱり一般ユーザーもハッキングされてました！　該当者にはお知らせ送るからゴメンしてね！」ってことになりませんように。

読んでくださりありがとうございました。
セキュリティにはお互い気をつけましょう！