Security

【注意】Yahoo!アカウント乗っ取り被害スパムメールの踏み台に!

こんにちは。
@OfficeTAKUです。

今回、Yahoo!アカウントが乗っ取られ、スパムメールの踏み台にされた、という事例に遭遇しました。

要注意!
下記のような方は必ずYahoo!にログインしログイン履歴を確認しましょう

  • アカウントはあるけれどしばらくログインしていない
  • パスワードが思っていたのと違う、ログインできなくなっていた、パスワードの再設定をしてログインしたことがある

Yahoo!メールを利用している方は下記の設定を!

上記の手順・方法などは、Yahoo!さんのヘルプは非常にわかりにくいです。
細かすぎる、手順が明確でない、ほかのヘルプページへの遷移が常にもとめられる、など本当に大変です。
しかもヘルプ内での検索も上手くヒットしてくれません。
Googleで検索した方が断然早くたどり着けます。
また、ユーザーさんが書いてくれているブログの記事などを見たほうがてっとり早いです。

Yahoo!アカウント乗っ取りまでの経緯と対処

先日、「OutlookでYahoo!メールの送受信ができなくなった」とのご依頼があり、訪問させていただきました。

Windows 10、Office 365 の Outlookという環境です。
パスワードが通らず、パスワード変更等し、サーバーの設定も見直し、格闘すること1時間強。Outlookでの送受信ができるようになりました。

Yahoo!アカウント乗っ取りアクセスはナイジェリア

初日

  1. 電話番号でログイン
  2. パスワード変更

だけ。

しかし、根本原因は Yahoo!アカウントの乗っ取りだったのです。

翌日
「Yhoo!からパスワード設定変更のメールが来ている。深夜にこんなことしていない」との連絡が。

「最初の時点で気づけよ、俺!」って感じでしたが、まさか一旦パスワード替えても再度破られるとは。

しかも、連絡先メールアドレスに犯人が自分のGmailのアドレスを設定していたのです。
パスワード変更やシークレットIDの設定など、何か変更があるたびにその連絡先アドレスに届いていたわけです。

また、その時点では、シークレットIDや二段階認証(ワンタイムパスワード)は設定しませんでした。

ログイン履歴をみると、なんとナイジェリアからの不正ログインです。
そんなことナイジェリア!とさすがにそこでは叫びませんでしたけど。
Yahoo!アカウント乗っ取りにあったログイン履歴

そこで、

  1. 電話番号でログイン
  2. パスワード変更
  3. シークレットID 設定
  4. ログインアラート設定
  5. ワンタイムパスワード設定

上記3まで対策をしたのですが、翌日また「パスワード変更されてる」
と連絡あり。
そこで、4、5 をMessengerでやり取りしながら設定。
しかし、ログをみると不正なログインの形跡がないので、多分パスワードを間違えたのだと思います。
でも、おかげでより強固になりました。

それ以降、不正なログインはないようです。

絶対にやるべきこと
  • 2段階認証を始めしっかりと対策をとる
    被害者・加害者にならないためには必須。面倒がらずに絶対にやる
  • パスワードは強固なもの使い回しをしない
    パスワードの強度も大事なのだと思い知りました。
    流出していないわけですから、破られたのだと思います。
    2度めの対策以降不正ログインされていないので、恐らくキーロガーが仕込まれていたわけではないと思います。
教訓・反省点
  • 心を鬼にすべき
    パスワードを複雑にして、IDをさらにもう一つ作って、と言うのも本人を混乱させてしまう、言いづらいことであります。
    ゆえ、遠慮してしまいます。
    また、金銭的にも負担をかけることになるので、あまり押し付けられない、と思ってしまいました。
    しかし、セキュリティ優先。
    心を鬼にして言わねばと思いました。
  • まず乗っ取りを疑う
    変更した覚えがないのにパスワードでエラーになる、という時点でスグに乗っ取りを疑うべきだった

以前、職業訓練講座の時にIPAさん作成の動画を思い出しました。

ある雑誌の編集者が、自宅で作業中にウィルスに感染したPCを、翌日会社でネットワークにつなげて、周りに感染を拡大させてしまい、みなのPCが突然シャットダウン。
そこへ来た取引先?の詳しい人が、「これは◯◯というウイルスに感染している」、すぐに全部のLANケーブルを引っこ抜く。駆除ツールをインストールし駆除。
そして、その編集部トップに「定期的にアップデート掛けたりチェックをする、セキュリティ管理者を置いて下さい」と進言、
そのトップは「そんなこと言ったって、人でも足りないし、云々」と言ったところ
「やってもらわなければ我々取引先も被害にあうんです。困るんです。」と、ビシッと言う。

今は、個人でも、多くの人の個人情報を抱え込んでいる時代です。
アドレス帳には多くの人のアドレスが、SNSには多くの個人情報が満載。

自分が被害者になる 即 自分が加害者になってしまう

のです。
今回もクライアントさんのアカウントから大量のスパムメールが送信されてしまいました。
その事実は消せません。
これ、ビジネスだったら大変なこと。

こんな偉そうなことを言っている私も先日mixiの乗っ取りにあっているのですから、ざまぁないわけですが、身を以てこそ言えるというものです(開き直っているわけではありません、本当にごめんなさい)。

利用するサービスによってセキュリティの強度は違ってきます。
別のサービスだったら、ナイジェリアからのアクセスでパスワード変更の要求など来たら遮断してくれたでしょう。

私の使命

セキュリティ意識を高める

IDとパスワードの重要性を認識してもらう

すなわち、ユーザーのリテラシーを高める

それと、デジタル・デバイドの解消

まぁ、大きくでましたが、ほんとうにそれは痛感しております。

そのためにこのブログも書き綴っているわけです。

とりあえず、何かおかしいな、と思ったら、自分でわからなかったら、近くの専門家にしっかりと対処してもらいましょう。

もちろん、石川県野々市市近辺の方は当方までご依頼下さい。

プログラミング超初心者のための用語解説「シングルボードコンピュータ」前のページ

[Kindle] 2018年9月電子書籍 Amazon Kidle本 月替わりセール ピックアップ次のページ

ピックアップ記事

  1. 法定相続情報一覧図の作成や申出のポイントについてまとめ
  2. [レビュー] Lenovo Ideacentre 720 使えば手放したくなくな…
  3. Amazonプライム・ビデオで今見ておくべき作品
  4. [iTunes] Apple Music ライブラリ内の曲を再生したら全く別の曲…
  5. プリンター ブラザー DCP-J973N 導入記。お手頃価格でセッティングも取り…

関連記事

  1. Security

    ヨーダがパソコンを守ってくれる!USBデスクプロテクター

    これはちょっと欲しい!って思うのでご紹介。なんせ、ヨーダが守っ…

  2. スパムメール
  3. Security

    [iPhone] メッセージに「タカヒロ」Ta-KA-1208…からの迷惑メールが届くのでうざい

    こんにちは。「オレ、斉藤工だったけ?」と一瞬たりとも思わなかっ…

LINE公式アカウント:OfficeTAKU

OfficeTAKU Line公式アカウントバナー

最近の記事

  1. 【Windows】仮想デスクトップでデスクトップごとに違う壁紙を設定するユーティリティ SylphyHorn

人気の記事

  1. 【Windows】仮想デスクトップでデスクトップごとに違う壁紙を設定するユーティリティ SylphyHorn
  2. 【Windows・Mac】拡張子がHEICのiPhone写真をJPEGに変換する方法
  3. 【Facebook】不審なメッセージリクエストでグループ作成のお知らせが届いたら
  1. 芝寿し「冷凍寿し 小袖棒寿し 甘えび」

    グルメ

    おすすめ!芝寿しさんの冷凍寿しを食べてみたら甘海老がぷりぷりで美味しかったです!…
  2. cheero USB-C PD Charger 18W mini

    ハードウェア

    【レビュー】 cheero USB-C PD Charger 18W mini …
  3. WebService

    Amazon Echo Alexa を Google カレンダーとリンクしたらと…
  4. 日記

    サマータイムは亡霊か?何度も呼び戻されてくる愚策に対抗するために知っておくべきこ…
  5. Excel

    【Excel】あなたはいくつ知っている? エクセルで連番を作成する7つの方法
PAGE TOP
Secured By miniOrange