Security

【注意】Yahoo!アカウント乗っ取り被害スパムメールの踏み台に!

こんにちは。
@OfficeTAKUです。

今回、Yahoo!アカウントが乗っ取られ、スパムメールの踏み台にされた、という事例に遭遇しました。

要注意!
下記のような方は必ずYahoo!にログインしログイン履歴を確認しましょう

  • アカウントはあるけれどしばらくログインしていない
  • パスワードが思っていたのと違う、ログインできなくなっていた、パスワードの再設定をしてログインしたことがある

Yahoo!メールを利用している方は下記の設定を!

上記の手順・方法などは、Yahoo!さんのヘルプは非常にわかりにくいです。
細かすぎる、手順が明確でない、ほかのヘルプページへの遷移が常にもとめられる、など本当に大変です。
しかもヘルプ内での検索も上手くヒットしてくれません。
Googleで検索した方が断然早くたどり着けます。
また、ユーザーさんが書いてくれているブログの記事などを見たほうがてっとり早いです。

Yahoo!アカウント乗っ取りまでの経緯と対処

先日、「OutlookでYahoo!メールの送受信ができなくなった」とのご依頼があり、訪問させていただきました。

Windows 10、Office 365 の Outlookという環境です。
パスワードが通らず、パスワード変更等し、サーバーの設定も見直し、格闘すること1時間強。Outlookでの送受信ができるようになりました。

Yahoo!アカウント乗っ取りアクセスはナイジェリア

初日

  1. 電話番号でログイン
  2. パスワード変更

だけ。

しかし、根本原因は Yahoo!アカウントの乗っ取りだったのです。

翌日
「Yhoo!からパスワード設定変更のメールが来ている。深夜にこんなことしていない」との連絡が。

「最初の時点で気づけよ、俺!」って感じでしたが、まさか一旦パスワード替えても再度破られるとは。

しかも、連絡先メールアドレスに犯人が自分のGmailのアドレスを設定していたのです。
パスワード変更やシークレットIDの設定など、何か変更があるたびにその連絡先アドレスに届いていたわけです。

また、その時点では、シークレットIDや二段階認証(ワンタイムパスワード)は設定しませんでした。

ログイン履歴をみると、なんとナイジェリアからの不正ログインです。
そんなことナイジェリア!とさすがにそこでは叫びませんでしたけど。
Yahoo!アカウント乗っ取りにあったログイン履歴

そこで、

  1. 電話番号でログイン
  2. パスワード変更
  3. シークレットID 設定
  4. ログインアラート設定
  5. ワンタイムパスワード設定

上記3まで対策をしたのですが、翌日また「パスワード変更されてる」
と連絡あり。
そこで、4、5 をMessengerでやり取りしながら設定。
しかし、ログをみると不正なログインの形跡がないので、多分パスワードを間違えたのだと思います。
でも、おかげでより強固になりました。

それ以降、不正なログインはないようです。

絶対にやるべきこと
  • 2段階認証を始めしっかりと対策をとる
    被害者・加害者にならないためには必須。面倒がらずに絶対にやる
  • パスワードは強固なもの使い回しをしない
    パスワードの強度も大事なのだと思い知りました。
    流出していないわけですから、破られたのだと思います。
    2度めの対策以降不正ログインされていないので、恐らくキーロガーが仕込まれていたわけではないと思います。
教訓・反省点
  • 心を鬼にすべき
    パスワードを複雑にして、IDをさらにもう一つ作って、と言うのも本人を混乱させてしまう、言いづらいことであります。
    ゆえ、遠慮してしまいます。
    また、金銭的にも負担をかけることになるので、あまり押し付けられない、と思ってしまいました。
    しかし、セキュリティ優先。
    心を鬼にして言わねばと思いました。
  • まず乗っ取りを疑う
    変更した覚えがないのにパスワードでエラーになる、という時点でスグに乗っ取りを疑うべきだった

以前、職業訓練講座の時にIPAさん作成の動画を思い出しました。
ある雑誌の編集者が、自宅で作業中にウィルスに感染したPCを、翌日会社でネットワークにつなげて、周りに感染を拡大させてしまい、みなのPCが突然シャットダウン。
そこへ来た取引先?の詳しい人が、「これは◯◯というウイルスに感染している」、すぐに全部のLANケーブルを引っこ抜く。駆除ツールをインストールし駆除。
そして、その編集部トップに「定期的にアップデート掛けたりチェックをする、セキュリティ管理者を置いて下さい」と進言、
そのトップは「そんなこと言ったって、人でも足りないし、云々」と言ったところ
「やってもらわなければ我々取引先も被害にあうんです。困るんです。」と、ビシッと言う。

そんな場面を思い出しました。

今は、個人でも、多くの人の個人情報を抱え込んでいる時代です。
アドレス帳には多くの人のアドレスが、SNSには多くの個人情報が満載。

自分が被害者になる 即 自分が加害者になってしまう

のです。
今回もクライアントさんのアカウントから大量のスパムメールが送信されてしまいました。
その事実は消せません。
これ、ビジネスだったら大変なこと。

こんな偉そうなことを言っている私も先日mixiの乗っ取りにあっているのですから、ざまぁないわけですが、身を以てこそ言えるというものです(開き直っているわけではありません、本当にごめんなさい)。

利用するサービスによってセキュリティの強度は違ってきます。
別のサービスだったら、ナイジェリアからのアクセスでパスワード変更の要求など来たら遮断してくれたでしょう。

私の使命

セキュリティ意識を高める

IDとパスワードの重要性を認識してもらう

すなわち、ユーザーのリテラシーを高める

それと、デジタル・デバイドの解消

まぁ、大きくでましたが、ほんとうにそれは痛感しております。

そのためにこのブログも書き綴っているわけです。

とりあえず、何かおかしいな、と思ったら、自分でわからなかったら、近くの専門家にしっかりと対処してもらいましょう。

もちろん、石川県野々市市近辺の方は当方までご依頼下さい。

ピックアップ記事

  1. [レビュー] Lenovo Ideacentre 720 使えば手放したくなくな…
  2. 机からケーブルを落とさない NuAns WORKLIFE FOLDKEEPER …
  3. プリンター ブラザー DCP-J973N 導入記。お手頃価格でセッティングも取り…
  4. Apple Music や Amazon Musice でクラシック音楽の楽曲・…
  5. [Instagram] インスタグラムで勝手にレイバンサングラスの投稿がされたら…

関連記事

  1. iPhone 長いパスコードの入力画面

    iOS

    [iPhone/iPad] より安全に!長いパスコードを利用する

    こんにちは。@OfficeTAKUです。iPhone5 の…

最近の記事

  1. Amazon Echo Dot
  2. Photo by Aitor Romero on Unsplash
  3. Photo by rawpixel on Unsplash

人気の記事

  1. Photo by Szűcs László on Unsplash
  2. Photo by Samuel Zeller on Unsplash
  3. Photo by S A R A H ✗ S H A R P on Unsplash
  4. PAPERANG-P2
  1. 日記

    サマータイムは亡霊か?何度も呼び戻されてくる愚策に対抗するために知っておくべきこ…
  2. Photo by Szűcs László on Unsplash

    Mac

    [Mac] Macで時報をアナウンスさせるようにしたら意外と便利です
  3. タウンページ2018.9『北陸とらいあんぐる』

    電子書籍

    『北陸とらいあんぐる』が表紙に描かれたNTTタウンページが昨日届いたので無料で読…
  4. 書籍

    集中して仕事がしたい、自分で時間をコントロールしたい、と思い、読んでためになった…
  5. ハードウェア

    こんどのEchoはスクリーン付き!Amazon Echo Spot 7月26日発…
PAGE TOP