パスワードがバレた
こんにちは。
長年、インターネットを使っていると、様々なサイトに会員登録します。
ボクも、Amazonやら楽天やらGoogleやらAppleやら、たぶん、何百種類ものサイトにアカウントを持っています。
アカウントにログイン(サインイン)する際に必要なのが、
- ID
- パスワード
の2種類であるコトがほとんどです。
そして、IDがメールアドレスであるケースが、これまたほとんどですね。
つまり、
- メールアドレス
- パスワード
の2種類でアカウントを作るケースが大半です。
これは言い換えれば、メールアドレスさえ知られてしまえば、あとはパスワードがバレればサインインできてしまう、と言う意味です。
みなさん、友人、知人にメールアドレスを教えているでしょ?
例えば、そのメールアドレスで楽天の会員になっているとしましょう。
その楽天のパスワードがあなたの誕生日の8桁だとします。
1991年3月20日生まれの人なら、パスワードは19910320ですね。
すると、あなたのメールアドレスと生年月日を知っている人なら、簡単にあなたの楽天アカウントにサインインできてしまうんですね。
だから、パスワードは、誕生日などの推測されやすいモノは絶対に使っちゃいけないんです。
あと、楽天とAmazonの両方で、同じメールアドレス、同じパスワードを使っていれば、楽天へのサインイン方法がバレれば、同時にAmazonへもサインインされてしまいますよね。
だから、複数のパスワードで同じパスワードを使い回すのは絶対に避けるべきなんです。
メールアドレスをたくさん持つのは不可能に近いので、同じメアドを使い回すのは仕方が無いですが、パスワードはアカウントごとに別々に作っておく。しかも誕生日のような推測されやすいモノでは無く、まったくデタラメな長いパスワード。本人すら覚えられないくらいメチャクチャなパスワードが理想です。
100個のアカウントがあるなら、100個の別々のパスワード。そうすべきです。
そう言うボク宛に、脅迫メールが来ました。
脅迫メールの内容
脅迫メールの内容は次のとおりです。
●●●●●●●●はボクのメールアドレス。
■■■■■■■■はボクが昔、どこかのアカウントで作ったパスワード。
伏せ字にしました。
メールの題名
あなたのパスワードが侵害されました ●●●●●●●● (pass=■■■■■■■■)
メールの中身
こんにちは!
私は数ヶ月前にあなたの電子メールとデバイスをクラックしたハッカーです。
あなたが訪問したサイトの1つにパスワードを入力君た。それを傍受しました。これは、ハッキングの瞬間に●●●●●●●●からのあなたのパスワードです: ■■■■■■■■
もちろん、それを変更したり、すでに変更したりすることができます。
しかし、それは問題ではありません、私のマルウェアは毎回それを更新しました。私に連絡したり、私を見つけようとしないでください。それは不可能です。 私はあなたのアカウントからメールをあなたに送ったので、
あなたの電子メールを介して、私はあなたのオペレーションシステムに悪質なコードをアップロードしました。
私は友人、同僚、親戚とのあなたの連絡先のすべてを保存し、インターネットリソースへの訪問の完全な履歴を保存しました。
また、あなたのデバイスにトロイの木馬をインストールしました。あなたは私の唯一の犠牲者ではない、私は通常、デバイスをブロックし、身代金を求める。
しかし、私は頻繁に訪れる親密なコンテンツのサイトにショックを受けました。私はあなたの幻想にショックを受けている! 私はこれのようなものを見たことがない!
だから、あなたがサイトで楽しむとき(あなたは私が何を意味するか知っています!)
あなたのカメラのプログラムを使用してスクリーンショットを作成しました。
その後、私はそれらを現在閲覧されているサイトのコンテンツに結合しました。これらの写真を連絡先に送信すると素晴らしいことがあります。
しかし、あなたがそれを望んでいないと確信しています。したがって、私は沈黙のためにあなたからの支払いを期待しています。
私は$546が良い価格だと思います!Bitcoin経由で支払う。
私のBTCウォレット: 1NJQDJcbdn7EP5Z3EESEY8DATdidC5q2uZあなたがこれを行う方法を知らない場合 - Googleに「BTCウォレットに送金する方法」を入力します。 難しくない。
指定された金額を受け取ると、妥協しているすべての材料は自動的に破壊されます。私のウイルスはあなた自身のオペレーティングシステムからも削除されます。私のトロイの木馬は自動アラートを持っています。私はこのメールを読んだ後でメッセージを受け取ります。
私はあなたに支払いのための2日間を与える(正確に48時間)。
これが起こらない場合 - すべてのあなたの連絡先はあなたの暗い秘密の生活からクレイジーショットを取得します!
あなたが妨害しないように、あなたのデバイスはブロックされます(また、48時間後)ばかなことしないで!
警察や友人はあなたを確実に助けません...p.s. 私はあなたに将来のアドバイスを与えることができます。 安全でないサイトにはパスワードを入力しないでください。
私はあなたの慎重さを願っています。
お別れ。
以上です。
どうですか。
発信者はボクのメールアドレス自身です。
メールと言うのは発信者のメールアドレスを偽装するのはカンタンなので、そこはどうでも良いです。
問題は、ボクのメールアドレスと、ボクのパスワードを見事に当てられてしまっている点。
上記では●●●●●●●●と■■■■■■■■で伏せ字にしましたが、■■■■■■■■は確かにボクが使ったコトがあるパスワードです。
そして、●●●●●●●●宛にメールが来たわけです。
つまり、昔、ボクがどこかのサイトで使ったメールアドレスとパスワードが流出したんでしょう。
それで、ボクのメールアドレス(これは今も使っています)宛に、パスワードまで記載して送りつけて来たんです。
おカネを払わないと、ボクの個人情報をボクの連絡先にばらまく、と言う脅しですね。
実は、このメール、最近、多くの人に送りつけられているようです。
脅迫に負けておカネを払ってしまう人もいるようです。
おカネを払う必要はありません。
こんなの、定型文を作ってプログラムで世界中の人に送りつけ付けていて、個別の人の個人情報に興味なんて無いのです。
おカネが欲しいだけ。
ただし、ボクが使っていたパスワードがバレたのは事実です。
とは言え、ボクが現在、アドレス帳などの個人情報に使っているアカウントは、このパスワードでは無いですし、2段階認証も設定しているため、バレるコトはありません。
つまり、今回のこの脅迫メールは、ボクが過去に使っていたサイトのどれかから流出したモノです。
上にも書きましたが、ボクは現在は、1個1個、アカウントごとに別々の長大なパスワードを作っているので、上記のパスワードがバレても、そのアカウントだけが被害に遭うのであって、他のアカウントは無事です。
なので、ボクのアドレス帳の中身は漏れていません。
メールに書かれているようなコトをされる心配は無いのです。
実を言えば、10年くらい前までは、ボクも複数のサイトで、同じパスワードを使い回ししていました。比較的短いパスワードを。
パスワードを使い回すと危険だと言う知識が無かったからです。
そして、今回流出したパスワードは、その時代に使っていたパスワードです。
と言うコトは、当時使っていたアカウントのどれかですね。
幸いにも、ボクは当時はExcelでIDとパスワードを管理していて、その表が今も残っているので、どのアカウントがやられたのかを1個1個調査するコトができます。
時間はかかりますが。
ID(メールアドレス)とパスワードがバレたと言うコトは、犯人は勝手にパスワードを変更している可能性があるからです。
つまり、ボク自身がサインインできなくなっていれば、そのアカウントが当たりですね。
数十個のアカウントがあるので調査中です。
逆に、犯人によってパスワードを変更されていなければボクが引き続きサインイン可能なので、自分で新しいパスワードに変えてしまうつもりです。
あるいは、昔使っていて、今使っていないアカウントなら、そもそもアカウント自体を削除してしまうつもりです。
そんなわけで、今後も、ボクを含めて、この手のメールが世界中の人に来ると思いますが、冷静に対処してください。
まずは、上記に書いたように、パスワードの設定自体を見直しましょう。
複雑なパスワードに。そして2段階認証に。
