先日は佐川急便を装ったフィッシングメールへの注意を呼び掛けたが、今度はGoogleのメールサービスであるGmailアカウントの乗っ取り被害が発生したようだ。この被害に遭われたのが、歯に衣着せぬ物言いで有名な経済評論家の池田信夫氏だったため、ちょっとしたお祭り騒ぎになったようだ。
池田氏の人柄云々を揶揄するような言葉でTwitterやブログなどが盛り上がっているようだが、アカウントハックを冷やかしたりするよりも、こうした被害を広げないように警告を出すほうがよほど重要なはずだ。ある日、突然自分のアカウントが乗っ取られてしまう危険もある。人を茶化したり、バカにしたりするよりは、同様の被害を受けないために必要なセキュリティ対策をしておきたい。
Gmailの場合、メールアドレス自体がログインIDであることが多いため、パスワードが分かってしまえば誰でもアカウントにアクセスすることができてしまう。適当な周期でパスワードを変更するのが好ましいが「Gmail Hack Crack」といったキーワードでネットを調べてみるとブルートフォース(総当たり)で片っ端からパスワードを当たってくれるスクリプトなどが落ちていたり、解析ツールがあったりして、かなり寒気を覚えるものがある。
例えばアカウント乗っ取り犯は、乗っ取ったアドレスからフィッシングメールをアドレス帳にある全員に送る。そして、アドレス帳から次のアカウントハック用のアドレスをピックアップする。Gmailのアカウントハックが可能なのだから、有効なGmailアカウントは、多ければ多いほど犯人にとって好都合だ。
乗っ取った先のアドレス帳に大量のGmailアカウントがあれば、それらのアカウントが次に狙われるわけだ。乗っ取った先のアドレス帳、さらに先のアドレス帳、さらに先・・・と転々として行く間に自分のGmailアカウントにたどりつかれたとしても不思議ではないのだ。
こうしたIDが分かってしまうようなケースでは、正しいパスワードがばれてしまったら対応のしようがない。このような被害を防ぐようにGmailでは、携帯での認証のワンタイムパスワード設定なども可能なので、パスワードを定期的に変更することに加えてワンタイムパスワード設定なども併用するといいだろう。
また、Gmailアカウントを使って、別のサービスが利用できる「連携」機能は、確かに便利ではあるが、もしもアカウントが乗っ取られてしまった場合、そのサービスまで乗っ取った相手がアクセスできてしまうことを忘れてはいけない。Googleアカウントでアクセスできるサービスは意外と多く、mixiなどのSNSもそうだ。ということは、mixi経由でも被害が広がって行く危険性がある。アプリケーションの接続を見直しておく必要があるだろう。
そして何よりも注意しなければいけないのは、こうしたフリーのメールアカウントではなく、きちんとしたプロバイダのメールサービスを利用し、そのアカウントをメインとして利用するということだ。POP3だとパスワードが平文で流れてしまうのでAPOPやPOP over SSLをサポートしているメールサービスを利用するといった対応が必要だ。
togetter:池田信夫氏のこと
togetter:セキュリティにご注意:池田信夫氏のGMailアカウント乗っ取られの顛末
やまもといちろう氏のブログ:池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す
池田信夫氏のブログ:Gmailの振り込め詐欺にご注意
■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook
Gmailの場合、メールアドレス自体がログインIDであることが多いため、パスワードが分かってしまえば誰でもアカウントにアクセスすることができてしまう。適当な周期でパスワードを変更するのが好ましいが「Gmail Hack Crack」といったキーワードでネットを調べてみるとブルートフォース(総当たり)で片っ端からパスワードを当たってくれるスクリプトなどが落ちていたり、解析ツールがあったりして、かなり寒気を覚えるものがある。
例えばアカウント乗っ取り犯は、乗っ取ったアドレスからフィッシングメールをアドレス帳にある全員に送る。そして、アドレス帳から次のアカウントハック用のアドレスをピックアップする。Gmailのアカウントハックが可能なのだから、有効なGmailアカウントは、多ければ多いほど犯人にとって好都合だ。
乗っ取った先のアドレス帳に大量のGmailアカウントがあれば、それらのアカウントが次に狙われるわけだ。乗っ取った先のアドレス帳、さらに先のアドレス帳、さらに先・・・と転々として行く間に自分のGmailアカウントにたどりつかれたとしても不思議ではないのだ。
こうしたIDが分かってしまうようなケースでは、正しいパスワードがばれてしまったら対応のしようがない。このような被害を防ぐようにGmailでは、携帯での認証のワンタイムパスワード設定なども可能なので、パスワードを定期的に変更することに加えてワンタイムパスワード設定なども併用するといいだろう。
アカウント再設定のオプションはしっかり設定しておきたい。 |
携帯端末を登録しておくと不審なログインがあったときにワンタイムコードを携帯に知らせてくれる。 |
また、Gmailアカウントを使って、別のサービスが利用できる「連携」機能は、確かに便利ではあるが、もしもアカウントが乗っ取られてしまった場合、そのサービスまで乗っ取った相手がアクセスできてしまうことを忘れてはいけない。Googleアカウントでアクセスできるサービスは意外と多く、mixiなどのSNSもそうだ。ということは、mixi経由でも被害が広がって行く危険性がある。アプリケーションの接続を見直しておく必要があるだろう。
Googleアカウントで利用できるサービスを見直すのも有効だ。 |
そして何よりも注意しなければいけないのは、こうしたフリーのメールアカウントではなく、きちんとしたプロバイダのメールサービスを利用し、そのアカウントをメインとして利用するということだ。POP3だとパスワードが平文で流れてしまうのでAPOPやPOP over SSLをサポートしているメールサービスを利用するといった対応が必要だ。
togetter:池田信夫氏のこと
togetter:セキュリティにご注意:池田信夫氏のGMailアカウント乗っ取られの顛末
やまもといちろう氏のブログ:池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す
池田信夫氏のブログ:Gmailの振り込め詐欺にご注意
■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook
2~3年前まで、Hotmailでも大量に発生していて、そのときはhotmailの担当者の方が人海戦術で乗っ取られたアカウントを何ヶ月もかかって修復して、やっと落ち着いたなと思ってホッとしていたんですが。
そのときの状況から推測すると、
(1)Gメールのシステム自体に脆弱性が存在していて、(勿論Gメールの担当者は気付いてなくて)個別ユーザーアカウント単位で影響を受ける部分で、犯人側がプログラムを書き込んだりしている可能性。
(この場合も、次の(2)項と同じように不正メールをGメールユーザーがクリックした時点で、Gメールアカウント自身が,アカウント単位で感染してしまう)
(2)送られてきた、メールをクリックした時に、ユーザーPCにウイルスを入れられ、ID、パスワードを抜き取られている可能性など。この場合、犯人側が目的を達成するとウイルスなどの痕跡をユーザーPC上から削除する可能性もあるかもです。
よく、簡単なパスワードを解析して不正侵入されると言われますが、そんなことをすると、不正アクセスログが大量に残って、すぐにばれてしまうと思いますよ。効率も悪いと思うし。
hotmailの時も、被害者が、色々な方法で被害後にセキュリティチェックをしても、自分のPCからはウイルスは出てこないことがほとんどでしたから。
Gメールは、Hotmailで起こっていたことを是非参考にすべきですね。