こんにちは。
@OfficeTAKUです。
今回、Yahoo!アカウントが乗っ取られ、スパムメールの踏み台にされた、という事例に遭遇しました。
目次
要注意!
下記のような方は必ずYahoo!にログインしログイン履歴を確認しましょう
- アカウントはあるけれどしばらくログインしていない
- パスワードが思っていたのと違う、ログインできなくなっていた、パスワードの再設定をしてログインしたことがある
Yahoo!メールを利用している方は下記の設定を!
- シークレットIDを設定
シークレットID – Yahoo! JAPAN IDガイド - パスワードは強固に
Yahoo!メールヘルプ – パスワードを忘れた、パスワードを変更したい - ログインアラートを有効にする
ログインアラート – Yahoo! JAPAN - ワンタイムパスワードを有効にする
ワンタイムパスワード(OTP) – Yahoo! JAPAN IDガイド
上記の手順・方法などは、Yahoo!さんのヘルプは非常にわかりにくいです。
細かすぎる、手順が明確でない、ほかのヘルプページへの遷移が常にもとめられる、など本当に大変です。
しかもヘルプ内での検索も上手くヒットしてくれません。
Googleで検索した方が断然早くたどり着けます。
また、ユーザーさんが書いてくれているブログの記事などを見たほうがてっとり早いです。
Yahoo!アカウント乗っ取りまでの経緯と対処
先日、「OutlookでYahoo!メールの送受信ができなくなった」とのご依頼があり、訪問させていただきました。
Windows 10、Office 365 の Outlookという環境です。
パスワードが通らず、パスワード変更等し、サーバーの設定も見直し、格闘すること1時間強。Outlookでの送受信ができるようになりました。
Yahoo!アカウント乗っ取りアクセスはナイジェリア
初日
- 電話番号でログイン
- パスワード変更
だけ。
しかし、根本原因は Yahoo!アカウントの乗っ取りだったのです。
翌日
「Yhoo!からパスワード設定変更のメールが来ている。深夜にこんなことしていない」との連絡が。
「最初の時点で気づけよ、俺!」って感じでしたが、まさか一旦パスワード替えても再度破られるとは。
しかも、連絡先メールアドレスに犯人が自分のGmailのアドレスを設定していたのです。
パスワード変更やシークレットIDの設定など、何か変更があるたびにその連絡先アドレスに届いていたわけです。
また、その時点では、シークレットIDや二段階認証(ワンタイムパスワード)は設定しませんでした。
ログイン履歴をみると、なんとナイジェリアからの不正ログインです。
そんなことナイジェリア!とさすがにそこでは叫びませんでしたけど。
そこで、
- 電話番号でログイン
- パスワード変更
- シークレットID 設定
- ログインアラート設定
- ワンタイムパスワード設定
上記3まで対策をしたのですが、翌日また「パスワード変更されてる」
と連絡あり。
そこで、4、5 をMessengerでやり取りしながら設定。
しかし、ログをみると不正なログインの形跡がないので、多分パスワードを間違えたのだと思います。
でも、おかげでより強固になりました。
それ以降、不正なログインはないようです。
絶対にやるべきこと
- 2段階認証を始めしっかりと対策をとる
被害者・加害者にならないためには必須。面倒がらずに絶対にやる - パスワードは強固なもの使い回しをしない
パスワードの強度も大事なのだと思い知りました。
流出していないわけですから、破られたのだと思います。
2度めの対策以降不正ログインされていないので、恐らくキーロガーが仕込まれていたわけではないと思います。
教訓・反省点
- 心を鬼にすべき
パスワードを複雑にして、IDをさらにもう一つ作って、と言うのも本人を混乱させてしまう、言いづらいことであります。
ゆえ、遠慮してしまいます。
また、金銭的にも負担をかけることになるので、あまり押し付けられない、と思ってしまいました。
しかし、セキュリティ優先。
心を鬼にして言わねばと思いました。 - まず乗っ取りを疑う
変更した覚えがないのにパスワードでエラーになる、という時点でスグに乗っ取りを疑うべきだった
以前、職業訓練講座の時にIPAさん作成の動画を思い出しました。
ある雑誌の編集者が、自宅で作業中にウィルスに感染したPCを、翌日会社でネットワークにつなげて、周りに感染を拡大させてしまい、みなのPCが突然シャットダウン。
そこへ来た取引先?の詳しい人が、「これは◯◯というウイルスに感染している」、すぐに全部のLANケーブルを引っこ抜く。駆除ツールをインストールし駆除。
そして、その編集部トップに「定期的にアップデート掛けたりチェックをする、セキュリティ管理者を置いて下さい」と進言、
そのトップは「そんなこと言ったって、人でも足りないし、云々」と言ったところ
「やってもらわなければ我々取引先も被害にあうんです。困るんです。」と、ビシッと言う。
今は、個人でも、多くの人の個人情報を抱え込んでいる時代です。
アドレス帳には多くの人のアドレスが、SNSには多くの個人情報が満載。
自分が被害者になる 即 自分が加害者になってしまう
のです。
今回もクライアントさんのアカウントから大量のスパムメールが送信されてしまいました。
その事実は消せません。
これ、ビジネスだったら大変なこと。
こんな偉そうなことを言っている私も先日mixiの乗っ取りにあっているのですから、ざまぁないわけですが、身を以てこそ言えるというものです(開き直っているわけではありません、本当にごめんなさい)。
利用するサービスによってセキュリティの強度は違ってきます。
別のサービスだったら、ナイジェリアからのアクセスでパスワード変更の要求など来たら遮断してくれたでしょう。
私の使命
セキュリティ意識を高める
IDとパスワードの重要性を認識してもらう
すなわち、ユーザーのリテラシーを高める
それと、デジタル・デバイドの解消
まぁ、大きくでましたが、ほんとうにそれは痛感しております。
そのためにこのブログも書き綴っているわけです。
とりあえず、何かおかしいな、と思ったら、自分でわからなかったら、近くの専門家にしっかりと対処してもらいましょう。
もちろん、石川県野々市市近辺の方は当方までご依頼下さい。