メールアドレスとパスワードの漏洩の確認

1/9/2019

Photo by CMDR Shane on Unsplash

昨年末あたりから、楽天やアマゾンなど実際のサービスを装った偽装メールが蔓延しており、内閣サイバーセキュリティセンターや警視庁が注意を呼び掛ける事態になっている。

【注意喚起】（1/2）
「あなたのパスワードが侵害されました」という件名で、ビットコインを要求する不審なメールが拡散中だとして、JC3（日本サイバー犯罪対策センター）が注意喚起をしています。
迷惑メールの一種と考えられますので、仮想通貨の支払いに応じないよう注意してください。

（続く）
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) March 11, 2019

また現実には、さらに多くの英語スパム・メールが飛び交っていると思われる。
幸い、そのほとんどがスパム・フィルターによって隔離されているため、目にすることは少ない。
試しに隔離されたものからサンプルを拾ってみたところ、メールのタイトルがパスワードになっており、差出人は受信者のものを偽装していたものがあった。
あたかも「お前のメールアドレスもパスワードも知っているぞ」と脅さんばかりである。

Hello!

I am a representative of the hacker group.
In the period from 03/06/2019 to 25/08/2019 we got access to your account ＜メールアドレス＞ by hacking one of ＜プロバイダー名＞ mail servers.

You already changed the password?
Sumptuously! But my program fixes this every time. And every time I know your new password!

Using access to your account, it turned out to be easy to infect the OS of your device.

At the moment, all your contacts are known to us. We also have access to your messengers and to your correspondence.
All this information is already stored with us.

We are also aware of your intimate adventures on the Internet.
We know that you adore adult sites and we know about your sexual addictions.
You have a very interesting and special taste (you understand what I mean).

While browsing these sites, your device's camera automatically turns on.
Video-record you and what you watch is being save.
After that, the video clip is automatically saved on our server.

At the moment, several analogy video records have been collected.
From the moment you read this letter, after 60 hours,
all your contacts on this email box and in your instant messengers will receive these clips and files with your correspondence.

If you do not want this, transfer 700$ to our Bitcoin cryptocurrency wallet: ＜ビットコインのウォレット情報＞
I guarantee that we will then destroy all your secrets!

As soon as the money is in our account - your data will be immediately destroyed!
If no money arrives, files with video and correspondence will be sent to all your contacts.

You decide... Pay or live in hell out of shame...

We believe that this whole story will teach you how to use gadgets properly!
Everyone loves adult sites, you're just out of luck.
For the future - just cover a sticker your device's camera when you visit adult sites!

Take care of yourself!

これをざっくり翻訳すると、こんなところだろう。

お前のメールアドレスをハッキングした。
パスワードを変えても無駄である。
既にOSに感染しており、メッセンジャーなどの連絡先を窃取した。
ところでお前はエロサイトを見ているようだが、Webカメラを使ってエロサイト鑑賞中のお前の姿も録画してある。
これをばら撒いてほしくなければ、ビットコインで700ドル払え。
払わなければ、すべての連絡先に送り付けてやる。
支払うか、一生恥をかくか、よく考えろ。

なんとも効率の悪い犯罪である。
スパム・フィルターを通り抜けたとしても、日本人の多くは見知らぬ相手からの長文の英語メールなんかそのままゴミ箱行きにするだろうし、ビットコインで送金できる人も限られているだろう。
なお、私のPCはデスクトップなので、そもそもWebカメラは付いていない。アホか。

しかしメールアドレスとパスワードの組み合わせが漏洩している事態は看過できない。
例えば、ビジネスSNSとして日本でもユーザーの多いLinkedInは、2012年にハッキングされ、1億6,000万以上ものメールアドレスとパスワードの組み合わせが窃取されている。
もしこの組み合わせをLineやAmazonなど他のサービスでも使いまわしをしていたなら、簡単にアカウントを乗っ取られてしまうだろう。

では、どのサイトからメールアドレスが流出し、その中に自分のものが含まれているかどうか、チェックするにはどうすればいいのだろうか。
こうした情報を、マイクロソフトのTroy Hunt氏が "have i been pwned?" というサイトで提供してくれている。
このサイトによると、情報漏洩を起したサイト数は398、漏洩したアカウントは延べ84億にも及んでいる。
最大の漏洩は2019年1月に発生した Collection #1 からのもので、実に7億7,000万ものメールアドレスとパスワードが窃取されている。

また、メールアドレスやパスワードが漏洩したものに含まれているかどうか、簡単にチェックすることもできる。
メールアドレスが漏洩している場合は、このような結果が表示される。

漏洩していないメールアドレスの場合は、グリーンになる。

パスワードについては、こちらのURLで同様に確認できる。

メールアドレスの漏洩が確認できた場合、それをIDとしているすべてのサービスで別のアドレスに変更、もしくはパスワードを直ちに変更すべきだ。
またパスワードを変更する場合は、英数小文字だけのシンプルなものは避けなければならない。
また単純な英単語を使うと辞書攻撃で突破されるリスクが高いが、単語の中のいくつかの文字を特殊文字に置き換えればリスクは大きく低減する。
例えば "beatles123" や "be@tles" だけではなく、"be@tle$_123" くらいにはしておきたい。
さらに各サービスごとに多要素認証の設定もしておくべきであろう。

0 コメント

メールアドレスとパスワードの漏洩の確認

返信を残す

Categories