infoMode

情報セキュリティからテクノロジー、お役立ち情報などを発信します。

GmailやYahooなど著名メールアカウント情報が大量に流出か。広がる情報漏洩への不安、対策は。

Microsoft、Google、Yahooが調査中の情報漏洩事件とは

2億7000万件のメールアカウント情報が誰でもアクセスできるようになっていたと伝えられ、ネット界隈を大きく賑わせています。情報セキュリティ会社がハッカーからの通報を受けて明るみになったものですが、ダークウェブではすでに当たり前のものだったかも知れません。

Mail.ruやHotmail、GmailにYahoo Mailの4つが情報流出したそうです。しかし、これらメールサービスのプロバイダから漏洩したのかどうかは非常に疑問が残るようです。

 

どうやら、流出したメールアカウントの情報全てが正しいものではないようです。いわゆる休眠アカウントと呼ばれるようなものも含まれており、本当に意味のあるアカウント数がいくつかは議論の余地がありそうです。

しかしながら、各著名サービスのこれだけ大規模な量のアカウント情報が集まっているとすれば、それはサービス提供者側からしても好ましくない状況でしょう。

取り急ぎのメールからの情報漏洩対策

自身が管理しているYahoo Mail、Gmail、Hotmail、Mail.ru(あれば)のアカウント情報を見直し、パスワードを変更しておきましょう。

この際ですから、もしパスワードを使いまわしていたりしていた場合はそれぞれに別々のパスワードをセットしましょう。パスワード管理ソフトなども有効です。

 

また、近年増え続ける情報漏洩事件の被害の一端として、パスワードリスト攻撃と呼ばれるものが台頭しています。

パスワードリスト攻撃は攻撃者が情報データベースへの侵入に際し総当たり攻撃をしかけるのではなく、事前に用意した組み合わせを全て試すというものです。

その組み合わせとは一般的に多様される組み合わせである場合と、ある個人や企業に特化してオーダーメイドしたものである場合があります。いずれにせよ、通常の総当たり攻撃よりも危険です。

 

 

スポンサーリンク

 

単純にいえば、今回流出したYahooなどのアカウント情報にもし自身が使っているアカウントが含まれていたとします。

その場合、同じパスワードを使いまわしているサービス全てのパスワード変更を行わなければなりません。

パスワードの使いまわしは、パスワードリスト攻撃を助長させます。

二段階認証やログインアラートなどを活用する

Googleアカウントなど大手のサービスでは、二段階認証を導入しているところが増えています。二段階認証は単純にいえば、パスワードが二つ必要ということです。

そのうち一つは自分が常に覚えているパスワード(従来型)で、もう一つはOTP(ワンタイムパスワード)と呼ばれる変化するパスコードである場合がほとんどです。

自分が常に覚えているパスワードを入力すれば、OTPが自身の管理するメールや携帯番号などに届くのでそれをさらに入力することでログインできるというもの。

 

面倒だと思うかも知れませんが、意外とそうでもありません。サービス提供側もそのあたりは苦慮していかにユーザーエクスペリエンスを落とす事なく二段階認証を導入できるかしのぎを削っています。

Googleなどの場合は原則、特定の端末で一度二段階認証を行えば、その後同じ端末で二段階認証を求められることはないそうです。

二段階認証は、情報漏洩対策としてはとても強力なものです。できれば認証コードの送付先は盗まれやすいメールアカウントではなく、携帯番号などより”ハード”なものにしておきましょう。

 

また、ログインアラートも非常に有効です。どんなに対策をしたって情報漏洩を100%防ぐことはできません。

そんな場合は、もし攻撃者が不正にアカウントに侵入したらそのアカウントの管理者にすぐさま通知を出すような仕組みがあれば安心です。

その通知をスマートフォンの通知で行ってくれれば、別にサーバー管理者じゃなくたって攻撃者の侵入にすぐに気づく事ができます。

 

それがログインアラート機能です。ログイン履歴をメールの形で送ってくれるので、送付先を携帯メールアドレスなどにしておけばすぐに気づく事ができます。

自分が利用していない時にログインされたら、高確率でそのアカウントは情報漏洩を起こしている可能性がありますのですぐさまパスワードを変更し、ログイン履歴のログをYahooなどに通報しましょう。

ロシア系ウェブサイト利用の危険性

ところで、Mail.ruといえばロシア系のメールサービスです。今回の流出事件で漏洩したメールアカウントの中でもっとも大きな割合を占めていたのがここです。

Mail.ruは今回の漏洩事件に関して、全部が全部正しいメールアカウントではないという声明を出しています。

 

ところで、ロシア系のウェブサイトって訪れたことはあるでしょうか。普段関わりのないロシアですが、海賊版などの置き場所としてよく用いられているそうです。

そもそもそういった違法な目的でウェブサイトを利用している場合は犯罪ですので、やめましょう。情報セキュリティの観点から見ても、DLしたファイルが本物かどうかもわからない上にウイルスである危険性も十二分にあります。イカタコウイルスのように。

 

二つ目に、ロシア語のウェブサイトは全く何を書いているかわからないという点が挙げられます。英語や中国語のサイトはなんとなく予想がつくもんですが、ロシア語はもう暗号にしか見えません。

極端な話”ダウンロード”っぽく見えるボタンが、”クリックしたらウイルスに感染するよ”って書いてあってもわかんないってことです。もし使うならgoogle翻訳とかexcite翻訳とか噛ませましょう。

 

スポンサーリンク