メールアカウントの乗っ取りに注意!

SNSやミニブログなどのアカウントが不正アクセスにより乗っ取られ、悪用される事例が跡を絶ちません。有名人のアカウントが乗っ取られたといった話題を目にした方も多いのではないでしょうか?
その影で、メールアカウントの乗っ取りも継続的に被害が発生しています。大きな話題になることがありませんが、実害はSNSやミニブログの乗っ取りよりも大きいので注意が必要です。
今回は、メールアカウントの乗っ取りの手口と対策について解説していきます。

パスワードが突破されメールが乗っ取られる

メールのパスワードが盗まれてしまうと…

「メールアカウントの乗っ取り」とは、サイバー犯罪者がメールアドレスやプロバイダーのID、パスワードなどの情報をなんらかの方法で不正に入手し、ユーザーになりすましてメールサービスを悪用するものです。

メールパスワードが盗まれると、犯罪者に勝手にメールを使われてしまい、様々な迷惑行為、犯罪行為に悪用されてしまいます。自分だけではなく、他の人たちに大きな迷惑をかけることになるので、メールアカウントはしっかり守る必要があるのです。

スパムメールの発射台に悪用される

メールアカウント乗っ取りの最大の目的は、スパムメールの送信に悪用することです。乗っ取ったユーザーになりすまして、アドレス帳に登録されているメールアドレスにスパムメールを送信します。

こうしたメールは、本文内に攻撃用のURLや悪意あるプログラムを添付し、個人情報を盗むことを目的としています。成りすましのスパムメールを送られた人は、知り合いからのメールだということで油断してURLをクリックしたり、悪意あるプログラム入りの添付ファイルを開いてしまい、サイバー犯罪者に様々な情報を盗まれてしまうのです。

個人情報や友人の連絡先なども漏洩

GメールやYahooメールなどのサービスには、ほとんどの場合アドレス帳機能が付属しています。アドレス帳には、友人や知人の氏名、メールアドレスのほか、場合によっては電話番号や住所などが記録されています。

メールアカウントを乗っ取られると、こうした情報もすべて盗まれてしまいます。当然、盗まれた情報は悪用されたり、名簿業者に売られたりするので、友人や知人にも迷惑をかけることになってしまいます。

威力を増す「ブルートフォース攻撃」と「辞書攻撃」

サイバー犯罪者がメールアカウントのパスワードを盗む方法はいくつかありますが、あらゆる文字列を試す「ブルートフォース攻撃(総当り攻撃)」と、英単語やよく使われるパスワードを「辞書」のようなものに登録して、すべてを試していく「辞書攻撃」が使われます。

こうした攻撃は、以前は時間がかかっていましたが、現在ではコンピュータの処理性能があがり、短時間でパスワードを割り出すことができるようになっています。

増加している「アカウントリスト型攻撃」

「アカウントリスト型攻撃」とは、IDとパスワードがセットとなったアカウント情報リストを利用して、不正アクセスを狙う攻撃方法です。盗んだアカウント情報(IDとパスワード)を使って、あらゆるオンラインサービスにログインを試みます。

複数のオンラインサービスでパスワードを使いまわすユーザーが多いため、成功率が高く効率が良いため、多用されるようになっています。

パスワードの3大NGを知ろう

サイバー犯罪者が攻撃しやすいパスワードは、ニックネームや誕生日、電話番号、住所などの数字を使った推測しやすいもの。短く単純で、ブルートフォース攻撃や辞書攻撃で突破できる可能性が高いもの。アカウントリスト型攻撃でかんたんに突破できる使いまわしのパスワードです。

これらは、パスワードを設定するときの3大NGですので、絶対にこうしたパスワードは使わないでください!

<パスワードの3大NG>
・誕生日や電話番号など推測されやすいパスワード
・短く単純なパスワード
・パスワードの使い回し

大切なメールを守るために安全なパスワードに変えよう

今すぐ安全なパスワードに変更を!

もし、パスワードの3大NGに該当するようなパスワードを使っている場合は、今すぐにパスワードを変更してください。万が一攻撃を受けた場合、かんたんに突破されてしまう可能性が非常に高い状態です。

パスワードの変更は数分で終わる作業ですので、不正アクセスされて後悔する前に、安全なパスワードに変更しましょう。

<安全なパスワードを作る4つのステップ>
1.覚えやすい文字列にする
2.最低でも8文字以上にする
3.記号・数字・アルファベット(大文字小文字)を使う
4.サービスによって特定の文字を追加する

<関連リンク>
J:COMネットメールサービスパスワード変更

ステップ1 覚えやすい文字列にする

パスワードは頻繁に使うものですので、覚えやすいことは重要なポイントです。頻繁に使うサービスのパスワードを覚えにくい複雑な文字列にしてしまうと、安全性は高まりますが使いにくくなってしまいます。

しかし、覚えやすいからといって、ニックネームや誕生日、電話番号を使うのは危険です。そこで、覚えやすくて安全なパスワードを作成しましょう。ポイントは文字の入れ替えとルール作りです。

たとえば、覚えやすい文字列をベースに、aは@、oは0、lは1にするといったように、似た文字に入れ替える方法があります。ニックネーム「satoshin」なら「s@t0sh1n」というように入れ替えるわけです。

また、すべてキーボードの右隣のキーに変換するという方法もあります。この方法で入力すると「satoshin」は「dsypdjoj」になります。似た方法にかな表記のあるキーボードを使っている場合は、キーを見て「さとしん」と打つと「xsdy」と入力されます。

こうした方法で覚えやすい文字列を変換することで、推測されにくい安全性の高いパスワードのベースを作ることができます。ルールだけを覚えておけばいいので、複雑な文字列でも覚えやすいはずです。

ステップ2 最低でも8文字以上にする

現在、ほとんどのサービスでパスワードは最低8文字以上になっています。つまり、最低限安全なラインが8文字というわけです。8文字以下のパスワードが使えるサービスでも、必ず8文字以上のパスワードを設定するようにしましょう。

パスワードは長ければ長いほど安全ですので、自分が覚えられる範囲でできるだけ長いパスワードを使うようにしてください。

ステップ3 記号・数字・アルファベット(大文字小文字)を使う

パスワードに使われている文字の種類が多いほど、組み合わせの数が増えるので安全性が高まります。そのため、アルファベットだけではなく、記号や数字も必ず入れるようにしましょう。こちらも、ほとんどのサービスのパスワード設定で必須になっています。

たとえば、「satoshin」を「s@t0sh1n」に変換した場合、頭を大文字にして「S@t0sh1n」にします。これで、大文字、小文字、記号、数字のすべてが使われているパスワードになります。

ステップ4 サービスによって特定の文字を追加する

パスワードの使い回しは危険ですので、ベースとなるパスワードにサービスごとに文字列を追加しましょう。たとえば、J:COMであれば、母音を除いた「JCM」を「S@t0sh1n」の後に「-」でつなげて「S@t0sh1n-JCM」とします。「J- S@t0sh1n-CM」のように挟むといった方法でもよいでしょう。

どんなルールでも構いませんので、自分の覚えやすいルールで作成してください。

<関連リンク>
STOP!!パスワード使い回し!!キャンペーン2016

パスワードの安全性をチェックしよう!

パスワードを作成したら、安全性をチェックしましょう。使うのはマイクロソフトの「パスワードチェッカー」です。参考例として作成した「J- S@t0sh1n-CM」でチェックしてみると、「とても強い」という結果になりました。これで、覚えやすくて安心なパスワードは完成です。

みなさんも、今すぐ安全なパスワードを作成してください!

パスワードチェッカー(マイクロソフト)

さらにセキュリティを高めるには

パスワードをしっかり管理しよう!

パスワードは、適切に管理することが重要です。せっかく安全なパスワードを作っても、簡単に他人にもわかってしまうような管理をしていては意味がありません。

パスワードは自宅の玄関の鍵と同じものだと考えて、盗まれないようにしっかり管理しましょう。

パスワードは人目につかない場所で保管

会社などでパスワードを書いた付箋をパソコンに貼っている人を見かけますが、これは不特定多数の人に見られてしまうため、非常に危険です。また、忘れないようにとワードやエクセルのファイルで保存するのもやめてください。そのファイルを見られたり、コピーされたりすると、すべてのアカウント情報が盗まれてしまいます。

先ほど紹介したように、自分なりのルールでパスワードを作成しておけば、メモの必要はないでしょう。それでも、メモしておきたい場合は、人目につかない場所に保管するようにしてください。

入力時の盗み見にも注意!

意外と盲点になるのが、パスワード入力時の盗み見です。ファミレスやコーヒーショップなど、不特定多数の人間がいる場所でパスワードを入力する際は、周囲に気を配りましょう。

大量の「mailer-daemon」メールが届いたらすぐにチェック!

これは、相手先にメールが届かなかった場合に送られてくる通知です。自分がメールを送った記憶がなく、突然、「mailer-daemon」から「Undelivered Mail Returned to Sender」といったメールが届いた場合、メールアカウントが乗っ取られている可能性が高いでしょう。

もし、このメールが大量に届いた場合、アカウントを乗っ取られている可能性がありますので、パスワードを変更しましょう。

可能な場合は二段階認証が有効

スマホや携帯を利用した二段階認証が使えるサービスなら、必ず利用しましょう。二段階認証なら、もしパスワードが破られてしまっても不正アクセスされる可能性を大きく減らすことができます。セキュリティが大きく向上しますので、積極的に利用してください。

新しい端末からのアクセス通知も活用しよう!

Googleなどは、今まで使ったことのないパソコンやスマホからのアクセスがあると、通知が届きます。見に覚えのない端末からのアクセスがあった場合、不正ログインされていることがすぐにわかりますので、利用できるサービスは設定しておくようにしましょう。

<関連リンク>
パスワードの設定は大丈夫?続:本当に重要なパスワード設定管理

よろしければアンケートにご協力ください
■このページの説明内容はわかりやすかったですか?
  たいへんわかりやすかった
  わかりやすかった
  少しわかりにくかった
  わかりにくかった
■評価の理由を具体的にご記入ください

■ご意見、ご要望、その他(取り上げてほしいセキュリティ情報や事例)が
  ございましたらご記入ください

※このフォームからのお問い合わせには、個別に回答させていただくことができませんのであらかじめご了承ください。また、 個人情報(お名前、住所、メールアドレス、電話番号など)をご記入にならないよう、ご注意ください。