こんにちは、seaです。
つい先日、パスワード漏洩のトラブルに巻き込まれました。
いつも通り機嫌良くパソコンを操作していた私、一通の不穏なメールを受け取ったことから一気に憂鬱な事態に。
突然のトラブルにかなり焦りました。
- なぜ判明したのか
- 原因
- 漏洩チェック方法
- 解決策
- 今後の対策
について詳しくまとめています。
「自分のメールアドレスやパスワードが漏洩しているかどうか」を簡単にすぐチェックできる方法もご紹介していますので、ぜひご覧ください。
1.パスワード漏洩!その経緯
Google Chromeからの警告メッセージが届く・・・
ウェブブラウザの「Google Chrome」を使っている方は、このような↓ポップアップメッセージを受け取られたことがある方も多いかもしれません。
「特定のサイトで使用しているIDやパスワードが漏洩している」
というアラートです。
私も今回の漏洩の第一報を、Chromeからのこの警告メッセージでまず知ることができました。
とはいえ、それだけでは済まなかったのですが・・・。(詳しくは後述)
ちなみに、なぜChrome側でパスワード漏洩がわかり、こちらに教えてくれるかというと、
Google ChromeユーザーがGoogleアカウントにログインしている状態で、Chromeを使ってサイトのIDやパスワードを登録した場合に、Google側でそれらのIDやパスワードが保存・同期され、パスワードを管理してくれる仕組みがあるから。
例えば、通販サイトで新規会員登録をしてIDやパスワードを設定すると、ブラウザのポップアップ画面で「パスワードを保存するかどうか」聞かれますよね。
警告メッセージを受け取った場合
Chromeから警告を受け取ると「どうしよう・・・!」と焦ってかなり心臓に悪いですが、警告を受け取ってすぐの場合は、実は慌てる必要はありません。
IDやパスワードが漏洩している = 不正ログインされている
というわけではないから。
ただ、遅かれ早かれ不正にログインされ、サイトの個人情報が抜き取られたり、悪用されたり、金品の被害にも及ぶ可能性があるため、すぐに対処する必要があります。
- 解決策
- 超簡単な漏洩チェック方法
- 漏洩しないための今後の対策
については、次章以降でご紹介しますね。
怪しいメールを受け取る・・・
私の場合、パスワードが漏洩しただけではなくもっと面倒な状態になっている、と判明したのは、変なメールが届いていたから。
Kennethと名乗る人からの、メールの件名が「漏洩した私のパスワードそのもの」という大胆なメール。
このメールの内容を要約すると、
- おまえのパスワードはXXXXだ、なんでこのメールが届いたか気になるだろ
- おまえが見たことのある怪しいサイトにマルウェア(※)を仕込んだ
- そこでおまえが閲覧するとブラウザが操作され、おまえの閲覧サイトやパソコンのカメラがこちらに筒抜けだ
- メールだけではなく、Messenger、FaceBookからコンタクト先もゲットした
- 変なサイトを見ている閲覧画面とおまえの顔を同時に映したビデオを作った
- ばらまいて欲しくなければ$5334払え
- 訴訟しようとしてもこちらを追えないから無駄だ
- 払わなければ録画したビデオを入手したコンタクト先の家族や友達、同僚に送りつけるぞ
※(マルウェア):パソコンを不正&有害に動作させる悪意のあるソフトウェアやコードのこと
本当にうざいですよね・・・。
「Kennethさんよ、5334ドルって、けっこう金額きざむのねぇ・・・。」
全体的に超上から目線のメール文章もそうですが、そういう細かい点にもいらっとします。(笑)
かなりドキドキしたけれど、人様には言えない変なサイトを見たことも、心当たりもないし、当然無視するしかない・・・。
どこから流出したのか
パスワードがどのサイトから流出したのか、実は既に心当たりがありました。
あの変なメールに記載されていたパスワードは、ある転職情報サイトだけで使っていたものだったから。
Chromeの警告メッセージから辿って漏洩先を確認すると、実際にそのサイトのものだったし、
調べてみると、その転職情報サイトでは、パスワード流出の事実があり、2/12付でお知らせ・お詫び文がHPに上がっていました。
ちなみに今回の不正ログインの対象と期間は、
- 対象:2000年から現在までに「マイナビ転職」へ登録した人のうち、212,816名分の Web履歴書(退会者は除く)
- 不正ログインが確認された期間:2021年1月17日~2月9日
とあり、
「本日2月12日16時にパスワードのリセットを実施し、その旨をパスワードの再設定方法・注意点とあわせて、個別にメールにてお知らせいたします。」
とのことですが、今の所こちらにはそのようなメールは届いていません。
「メールが届いていないということは漏洩対象ではなかったのかな。」と思いたいのですが、
前述のあの変なメールの受信時期と合致するし、あのメールが届いた時点でもう漏洩確定ですよね・・・。
「マイナビ」のWeb履歴書にあった私のメールアドレスを悪用して、あの変な脅迫メールを送ってきた可能性が高いと思っています。
マイナビからのメールが届かなかったけれど、「マイナビ転職サイト」を使ったことがある方はパスワードが流出していないか一度確認してみることをオススメします。
2.【超簡単】流出したかどうかの確認方法
実際に自分のメールアドレスやパスワードが流出していないかどうか、非常に気になりますよね。
今回の私のケースではChromeからの警告メッセージによりパスワード漏洩が判明しましたが、
自分のアカウント情報が漏洩していないか超簡単にチェックできる方法があります。
2種類ご紹介しますので、気になる方はぜひチェックしてみてくださいね。
1.Have I Been Pwned?
自分のアカウント情報が流出していないか調べられるWebサービスです。
英語のサイトですが、メールアドレスやパスワードを入力するだけで簡単に漏洩をチェックできます。
このサイトは、オーストラリアのセキュリティ専門家、Troy Hunt氏が運営していて、日本の大手情報システム会社やセキュリティメディアなども紹介しているサイトで信頼性は高いようです。
ちなみにこのサイトでは、
- メールアドレスの漏洩チェック
- パスワードの漏洩チェック
の2種類の確認ができます。
◆メールアドレスの漏洩の確認方法
「Have I Been Pwned?」にアクセスし、漏洩したか調べたいemailアドレスを入力し、横の「pwned?」を押すだけ。
漏洩がなければ、メールアドレス検索ボックスの下にグリーンの画面で表示、
残念ながら漏洩があった場合は、赤い画面で結果が表示されます。
漏洩があった場合、さらに画面を下にスクロールすると、過去にメールアドレスの漏洩があったサービス一覧が表示されます。
色々英語で説明が書いてありますが、興味がある方以外はほぼ読まなくてOKで、まずは「どのサービスでメールアドレスが漏洩したか」の判断だけすれば良いと思います。
私も以前調べてみたところ、残念ながらメールアドレスの漏洩が・・・。
CanvaやLinkedInなどのサービスで過去の漏洩が確認されました(既にパスワードは更新済&問題が無いことを確認済)。
過去に漏洩した分はずっと履歴一覧として残るようですね。
◆パスワードの漏洩の確認方法
次にパスワード漏洩の確認方法です。
同じサイト内の「Pwned Passwords」でチェックできます。
先程のメールアドレスの漏洩チェックと同様に、調べたいパスワードを入力して検索に掛けるだけ。
先程の転職サイト「マイナビ」から漏洩したパスワードを調べてみたところ、
当然、「漏洩済」の結果が・・・。
ちなみに、こちらのパスワードの漏洩チェックの場合は、どのサイトで漏洩したかまではわかりません。
漏洩したパスワードを使っている全てのサイトのパスワードを今すぐ変更した方が良いと思います。
2.Firefox Monitor
2つ目の方法は、Mozillaが運営している「Firefox Monitor」でチェックする方法です。
こちらは日本語サイトで、「Have I Been Pwned?」と同じようにメールアドレスを入力するだけでメールアドレスが漏洩していないかを確認できます。
ちなみに、Have I Been Pwned?もFirefox Monitorも事前にメールアドレスを登録することで、
自分の情報が漏洩した際に自動的にメールで教えてもらえるそうなので、気になる方は登録すると良いかもしれませんね。
3.解決策
流出パスワードの変更
実際にメールアドレスやパスワードが漏洩していると判明した場合、漏洩しているサイトのパスワードを全て変更します。
各サイト一つ一つにアクセスして、パスワードを変更します。
私も、もちろんすぐにパスワードを変更しました!!
全て変更するのは地道な作業で結構大変ですが、不正ログインによるさらなる被害を防ぐために、ぜひ行いましょう!
特にクレジットカード情報を登録しているサイトのパスワードは、すぐに変更することをおすすめします。
「安全なパスワード」については、次章「4.漏洩を防ぐための対応策」で詳しくご説明します。
漏洩済サイトの確認
Google Chromeユーザーの場合
漏洩済サイトを一つ一つ確認するのは大変ですが、Google Chromeを使っている方は、次の方法で漏洩したIDとパスワードを使ったサイト一覧の確認が可能です。
前述したChromeによる警告メッセージの「パスワード確認」ボタンから漏洩サイトの一覧が確認できます。
または、Chromeの設定画面からアクセスしても同じサイト一覧を確認することができます。
①Chromeを立ち上げ、Chrome設定画面へ
②「自動入力」をクリックし、「パスワード」をクリック。
③こちら↓の画面の「パスワードを確認」から、不正使用されたパスワードなどが確認できます。
ちなみに、この画面で下にスクロールすると、Chromeに保存されたパスワードが全て一覧になっていますので、
パスワードを管理したり、パスワードをうっかり忘れた時に確認できたりするので便利です。
④「パスワード確認」画面で「不正使用されたパスワード」や「脆弱なパスワード」が使われているサイトが確認できます。
また、「パスワード変更」ボタンから対象サイトに移動できます。
4.漏洩を防ぐための今後の対策
技術の進化とともにハッカーなどの悪意のある集団も巧妙な手口で情報を入手することができるようになっています。
「IDとパスワードは流出してしまうもの。」
という位の心構えでいることで、少しでも漏洩を防げるのかもしれません。
事前にできる漏洩防止対策をまとめてみましたので、皆さまも今一度見直ししてみてはいかがでしょうか。
1.安全なパスワードを作成する
「自分にとっては覚えやすく、他人からは推測されにくい」パスワードを作成します。
12文字以上で半角英字、大文字小文字、数字、記号を複数組み合わせて設定するのが良いようです。
総務省の「国民の安全のための情報セキュリティサイト」によると、
安全なパスワードとは、他人に推測されにくく、ツールなどで割り出しにくいものを言います。
(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと
引用元:総務省「国民の安全のための情報セキュリティサイト」
また、危険なパスワード例としては、以下のようなものをあげています。
(1) 自分や家族の名前、ペットの名前
yamada、tanaka、taro、hanako(名前)/ 19960628、h020315(生年月日)/ tokyo、kasumigaseki(住所)/ 3470、1297(車のナンバー)/ ruby、koro(ペットの名前)
(2) 辞書に載っているような一般的な英単語
password、baseball、soccer、monkey、dragon
(3) 同じ文字の繰り返しやわかりやすい並びの文字列
aaaa、0000(同じ文字の組み合わせ)、abcd、123456、200、abc123(安易な数字や英文字の並び)/ asdf、qwerty(キーボードの配列)
(4) 短すぎる文字列
gf、ps
引用元:総務省「国民の安全のための情報セキュリティサイト」
電話番号、郵便番号、社員コードなど、他人が類推しやすいものも良くないようです。
心当たりがある方、結構多いかもしれませんね。
「うーん、そうはいってもパスワードのアイデアが全然出てこない・・・。」
と思った皆さま、
Googleは、安全なパスワードを作成するヒントとして、以下のようなアイデアを提案しています。
歌や詩の一節
映画やスピーチから引用した意味を持つ一節
書籍の一節
自分にとって意味を持つ一連の単語
文を短縮した文字列(文中の各単語から最初の文字を抜き出してパスワードを作成する)
引用元:Googleヘルプセンター「安全なパスワードを作成してアカウントのセキュリティを強化する」
新しいパスワードをひねり出すのってなかなか大変ですが、
ゲーム感覚で組み合わせて、自分だけの唯一無二のパスワードを楽しみながら作ってみてはいかがでしょうか?
2.パスワードは使い回さない
複数のサイトで同じパスワードを使い回している方も多いかもしれません。
正直、サービスごとに違うパスワードを覚えることは不可能に近いですしね・・・。
パスワードを使い回すことで、アカウント情報が流出した時の被害が何倍も、下手すれば何十倍にも膨れ上がる恐れがあります。
漏洩をした時の被害を最小限にするためにも「パスワードの使い回し」はすぐにでも止めた方が良さそうです。
では、どうやってパスワードを管理するのか
有償のパスワード管理ツールやChromeのようなブラウザのパスワード管理機能を使う方法がありますが、そもそものパスワードを工夫する方法もあります。
例えば、先程の安全なパスワードのルールに則ってパスワードの「もと」を作り、それにサービス名を追加して新しいパスワードを作るといった方法です。
例)
パスワードの「もと」:BiofermiN01
サービス名:Amazon
↓
パスワード例:Amazon&BiofermiN01
ちょうど手元にビオフェルミンがあったので。(笑)
3.二段階認証を使う
サービスによってはパスワードの入力以外にスマートフォンによる二段階認証を設定できる場合があります。
二段階認証ができる場合は、設定をオンにしてみましょう。
スマホなどによる物理的な認証が一段加わることで、セキュリティレベルがぐっと高まります。
まとめ
今まではどこか他人事だと思っていたトラブル。
今回のパスワード漏洩による具体的な被害は今のところはないようで、ほっとしています。。。
ただ、これからまた同じようなことが起こり、今度は実際に損害が出てしまうかもしれない。
一人一人が事前にできる限りの対策をしっかり行うことで、悪意あるプロ集団からの不正なアクセスや情報漏えいを防ぐことができます。
宜しければ、皆さまも今回のまとめを参考にパスワードセキュリティの見直しをおこなってみてはいかがでしょうか。
最後までご覧いただきありがとうございました。
こんにちは、seaです。 こちらの記事では、Mac(マック)の全てのフォントが太字になってしまった場合の解決方法をご紹介します。 Macを使用していたら、いきなりフォントが全て太字に。 夜中にMac […]
こんにちは、seaです。 突然ですが、自宅の断捨離が完了しました。 もともと物が多いタイプではなく、溢れかえった物が目に入ると落ち着かないタイプですが、 多忙なフルタイムの仕事をしていた時には、時間がなくても部屋が散らか[…]
こんにちは、seaです。 今回のブログでは、「リフォームをした我が家の洗面所」とあわせて、マンションならではの洗面室を「ホテルライクにおしゃれにスッキリ見せるコツ」もご紹介したいと思います! 以前の記事では、我が家のリビングと[…]
我が家の浴室のご紹介と、浴室を「ホテルライク」に見せるコツをご紹介しています! こんにちは、seaです。 以前の記事で我が家のリビングやキッチン、洗面室についてご紹介しました。
こんにちは、seaです。 今回のブログでは「独立型キッチンは後悔する?臭いってどう?メリット・デメリット。」についてご紹介します! リフォームや住宅購入の際、開放感のあるオープンキッチンと、[…]