複数アカウントを持っている人やテストアカウントを作っている人は要注意です。
パスワードの使い回しはやめましょう――。ずっとそう言い続けていた私自身が、大失敗をしてしまいました。今回は自戒を込めて、その記録を皆さんに共有したいと思います。
始まりは、チャットツールの「Skype」です。おつきあいのある編集部がSkypeを使っているため、原稿入稿のタイミングで毎月1回ほどSkypeを起動するのですが、あるとき、懐かしい友人からメッセージが届いていたことに気が付きました。ただし、あやしいリンクのみが入った……。
ほとんどの人が、これを見た瞬間に、「やられているな」と思うでしょう。同時に、最近はほとんどSkypeを使っていないであろう何人かの友人からも同様のメッセージが届いていたので、「これはSkypeに対するパスワードリスト型攻撃が行われている」と判断しました。恐らく、“どこからか漏えいしたメールアドレスとパスワードを使って私のSkypeへのログインを試行し、うまくいったらメッセージを無差別に送る”というものでしょう。
このような“あまり手の込んでいない投稿”なら、注意すれば判別できるので気を付けたいところです。そしてSkypeの場合、Microsoft アカウントと統合することで2段階認証を設定できるので、こちらも活用するといいでしょう。
さて、それからしばらくたって、またメッセージがやってきました。相変わらず同じようなURLのみのメッセージで、一目でスパムメッセージであると分かりました。しかし、そのIDを見た私はびっくりしてしまいました。
「これ、自分だ!」
私のID/パスワードのうち、昔使っていたものが流出していたことは把握していました。当時、まだセキュリティに対する認識が甘かった私は、パスワードの使い回しをしていたのです。そして、そのスパムメッセージを送ってきた自分のアカウントは、10年近く前に作ってもう使わなくなっていたもの。自分でもすっかり忘れていたIDだったのです。そんな“捨て垢(あか)”が、まさか攻撃に遭うとは……いや、全く弁解の余地もありません。すぐにログインしてパスワードを変更し、送信されていたスパムメッセージを削除。ついでにアカウントも削除しました。
Copyright © ITmedia, Inc. All Rights Reserved.