古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

“捨て垢”がスパム攻撃の温床に? あなたは放置していませんか?

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/05/02 08:00
“捨て垢”がスパム攻撃の温床に? あなたは放置していませんか?: 友人からのメッセージ。URLのみが入った、どう見ても怪しいメッセージです © ITmedia エンタープライズ 提供 友人からのメッセージ。URLのみが入った、どう見ても怪しいメッセージです

 パスワードの使い回しはやめましょう――。ずっとそう言い続けていた私自身が、大失敗をしてしまいました。今回は自戒を込めて、その記録を皆さんに共有したいと思います。

●Skypeのスパムメッセージ、“被害者も加害者も自分”という衝撃

 始まりは、チャットツールの「Skype」です。おつきあいのある編集部がSkypeを使っているため、原稿入稿のタイミングで毎月1回ほどSkypeを起動するのですが、あるとき、懐かしい友人からメッセージが届いていたことに気が付きました。ただし、あやしいリンクのみが入った……。

 ほとんどの人が、これを見た瞬間に、「やられているな」と思うでしょう。同時に、最近はほとんどSkypeを使っていないであろう何人かの友人からも同様のメッセージが届いていたので、「これはSkypeに対するパスワードリスト型攻撃が行われている」と判断しました。恐らく、“どこからか漏えいしたメールアドレスとパスワードを使って私のSkypeへのログインを試行し、うまくいったらメッセージを無差別に送る”というものでしょう。

 このような“あまり手の込んでいない投稿”なら、注意すれば判別できるので気を付けたいところです。そしてSkypeの場合、Microsoft アカウントと統合することで2段階認証を設定できるので、こちらも活用するといいでしょう。

 さて、それからしばらくたって、またメッセージがやってきました。相変わらず同じようなURLのみのメッセージで、一目でスパムメッセージであると分かりました。しかし、そのIDを見た私はびっくりしてしまいました。

 「これ、自分だ!」

 私のID/パスワードのうち、昔使っていたものが流出していたことは把握していました。当時、まだセキュリティに対する認識が甘かった私は、パスワードの使い回しをしていたのです。そして、そのスパムメッセージを送ってきた自分のアカウントは、10年近く前に作ってもう使わなくなっていたもの。自分でもすっかり忘れていたIDだったのです。そんな“捨て垢”が、まさか攻撃に遭うとは……いや、全く弁解の余地もありません。すぐにログインしてパスワードを変更し、送信されていたスパムメッセージを削除。ついでにアカウントも削除しました。

●捨て垢やテストアカウントが「リスク」に

 今回の事件で学んだのは、「一時的な利用だとしても、パスワードは使い回さないこと」。以前の本コラムでも書きましたが、ブラウザの機能やパスワード管理ソフトを利用することで、自分も覚えられない強固なパスワードを生成することができます。

 10年前の私は、「一時的な利用なら、簡単なパスワードでもいいや」と思っていましたが、今回のようなメッセージングアプリやSNSなどの、“不用意な発言で社会的地位が危ぶまれる可能性がある”サービス、そして、“お金に絡むようなサービス”のアカウントは、確実にパスワードを管理すべきでした。猛省しています。

 そして、「使わなくなったアカウントは可能な限り削除すること」も重要だと思いました。これはTwitterやSkypeなど、仕事用、個人用、趣味用など複数のアカウントを使いがちなサービスで、放置した結果パスワードリスト攻撃で「悪人に再利用される」可能性があるからです。残念ながらサービスによってはアカウント削除ができない場合も多いのが現状ではありますが……。

 おりしも現在、Amazonで発生している事件は、アカウントを乗っ取ることでマーケットプレイスへ偽の出品を行うという大変悪賢いもので、多くの被害が出ているようです(記事1、記事2参照)。

 サービスのアカウントがお金やモノにつながってしまうと、実生活にまで影響が出てきてしまうという実例が出てきてしまいました。そうならないためにもパスワードの使い回しはしないこと。そしてそろそろ、「2段階認証」を試すことを考えてみてください。リスクは激減するはずです。今回は私も、かなり反省しました。この話が皆さんにとって、他山の石になればと思います。

●著者紹介:宮田健(みやた・たけし)

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon