私のGmailの迷惑メールフォルダに、以下のメールが届いていた。驚いたのは、件名に表示されているのが、私が実際に使っているパスワードだった点だ。
件名や本文に、実際に自分が使っているパスワードが表示されていたら、誰だってギョッとする。
しかしここで焦らないでほしい。メールに記載されているURLなどには、間違っても触れてはいけない。
今日はそんな、注意喚起のための記事。
パスワード付き脅迫メールに屈しない
最近、メールの件名や本文にメールアドレスの持ち主が実際に使用しているパスワードを記載する脅迫メールが流行っている。
実際に届いたメールをGoogle翻訳に通した内容は、要約すると以下の通り。
あなたがアダルトサイトを見ている様子を、あなたのPCのウェブカメラから撮影した。
あなたのFacebook・メッセンジャーに登録がある連絡先も取得したので、撮影した動画をその連絡先に送りつける。それが嫌ならビットコインで1,000ドル払え。
もちろんこんなものはただの脅し文句であり、実際にそんな動画は存在しないと考えて問題ない。お金を支払う必要など絶ッッッッッッッッッ対にありえないので、メールは無視しよう。
間違っても、たとえ興味本位であっても、メールに記載されているURLをクリックしてはいけない。何もせず、ただただメールを削除すればいいのだ。
しかし実際に、あなたのパスワードが何らかの方法で取得された事実は残る。このまま放っておくのは気持ちのいいものではない。
したがって、明示されたパスワードを利用しているサービスはすべて、パスワードを変更することが推奨される。
これは JPCERT/CC もウェブで提唱していることなので、対応方法として間違っていない。
このようなメールを受信した場合は攻撃者の要求には応じず、冷静に対応を行ってください。また、メール本文で示されているパスワードを実際に使用しているサービスがある場合、異なるパスワードを再設定したり、ログイン履歴を確認したりするなどしてください。
JPCERT/CC にて確認した範囲では、脅迫メールに示されたパスワードを使用していたサービスが複数にわたり、またマルウエア感染により収集された可能性も否定できないため、パスワード自体が漏えいした原因の特定は困難でした。パスワードの使い回しをしないことや、ウイルス対策ソフトの利用など、普段からの対策を徹底していくことが不可欠です。
パスワードの使い回しも厳禁だ。パスワードがひとつ流出だけで、あなたのアカウントすべてが乗っ取られる危険性がでてきてしまう。
パスワードは、必ず固有のものでなくてはならず、英数字を組み合わせた複雑なものでなければならない。
複雑なパスワードを効率的に管理する
サービスごとに異なったパスワードを効率的に管理するには、それ専用のパスワード管理サービスを活用するのが良い。
「1Password」や「RememBear」などが、その代表的な例といえる。それぞれ月額300円程度の有料ツールだが、決して高い買い物ではない。
それぞれ、iPhone・iPad・Macといった各デバイスに専用アプリがあり、データを共有できる。つまり、iPhoneで登録したパスワードは、Macで確認・利用できるのだ。
登録済みのウェブサイトなら、いちいちパスワードを入力する手間も必要はない。サイトにアクセスしたら該当するパスワードを検索してくれて、入力までも勝手にしてくれる。
あなたは、登録したパスワードを閲覧するための〈マスターパスワード〉を覚えておくだけでOK。iPhoneなどであれば、マスターパスワードすら覚える必要はなく、指紋認証やFace IDでロックを解除することができる。
私は「1Password」を長年愛用しているが、このツールがあってよかったと日々実感している。使わない日がないほどヘビーに使うサービスなので、まだ導入していない人は、ぜひ検討してもらいたい。
パスワード管理の考え方
パスワード管理の考え方については、過去に当ブログでも紹介しているので、そちらも合わせて読んでおいてほしい。
パスワード管理の基本思想!たった3つのコツで劇的に運用がしやすくなる
もしあなたが、複数のアカウントで同じパスワードを使い回しているのだとしたら、それはパスワードの管理方法に問題がありそうです。 気持ちは分かります。私もそうでしたから。 別々のパスワードを覚えておくこと
あなたは、すべてのパスワードを覚える必要はない。ひとつの強力な〈マスターパスワード〉さえ覚えておけば、管理するすべてのパスワードを引き出すことができる。
そういう状態を作ることが何よりも重要。これは、ウェブ犯罪に巻き込まれないための、最低限の自己防衛なのだ。
