Photo by CMDR Shane on Unsplash
昨年末あたりから、楽天やアマゾンなど実際のサービスを装った偽装メールが蔓延しており、内閣サイバーセキュリティセンターや警視庁が注意を呼び掛ける事態になっている。
また現実には、さらに多くの英語スパム・メールが飛び交っていると思われる。 幸い、そのほとんどがスパム・フィルターによって隔離されているため、目にすることは少ない。 試しに隔離されたものからサンプルを拾ってみたところ、メールのタイトルがパスワードになっており、差出人は受信者のものを偽装していたものがあった。 あたかも「お前のメールアドレスもパスワードも知っているぞ」と脅さんばかりである。 Hello!
これをざっくり翻訳すると、こんなところだろう。
お前のメールアドレスをハッキングした。
なんとも効率の悪い犯罪である。
スパム・フィルターを通り抜けたとしても、日本人の多くは見知らぬ相手からの長文の英語メールなんかそのままゴミ箱行きにするだろうし、ビットコインで送金できる人も限られているだろう。 なお、私のPCはデスクトップなので、そもそもWebカメラは付いていない。アホか。 しかしメールアドレスとパスワードの組み合わせが漏洩している事態は看過できない。 例えば、ビジネスSNSとして日本でもユーザーの多いLinkedInは、2012年にハッキングされ、1億6,000万以上ものメールアドレスとパスワードの組み合わせが窃取されている。 もしこの組み合わせをLineやAmazonなど他のサービスでも使いまわしをしていたなら、簡単にアカウントを乗っ取られてしまうだろう。 では、どのサイトからメールアドレスが流出し、その中に自分のものが含まれているかどうか、チェックするにはどうすればいいのだろうか。 こうした情報を、マイクロソフトのTroy Hunt氏が "have i been pwned?" というサイトで提供してくれている。 このサイトによると、情報漏洩を起したサイト数は398、漏洩したアカウントは延べ84億にも及んでいる。 最大の漏洩は2019年1月に発生した Collection #1 からのもので、実に7億7,000万ものメールアドレスとパスワードが窃取されている。 また、メールアドレスやパスワードが漏洩したものに含まれているかどうか、簡単にチェックすることもできる。 メールアドレスが漏洩している場合は、このような結果が表示される。
漏洩していないメールアドレスの場合は、グリーンになる。
パスワードについては、こちらのURLで同様に確認できる。
メールアドレスの漏洩が確認できた場合、それをIDとしているすべてのサービスで別のアドレスに変更、もしくはパスワードを直ちに変更すべきだ。
またパスワードを変更する場合は、英数小文字だけのシンプルなものは避けなければならない。 また単純な英単語を使うと辞書攻撃で突破されるリスクが高いが、単語の中のいくつかの文字を特殊文字に置き換えればリスクは大きく低減する。 例えば "beatles123" や "be@tles" だけではなく、"be@tle$_123" くらいにはしておきたい。 さらに各サービスごとに多要素認証の設定もしておくべきであろう。
0 コメント
返信を残す |