今年の春頃、SNSアカウントが次々に不正アクセスされたので、 その状況について時系列順に記載したいと思います。 自分はSNSは登録するものの積極的には使わないことが多く、幸い友人に迷惑をかけたりすることはありませんでしたが、 パスワードの再設定など色々と面倒だったのでその話をまとめたいと思います。
- 凍結していたFacebook アカウントが解凍される
- 2ヶ月後にInstagram がアクセスされる
- その3日後にgoogle アカウントが不正アカウントされる
- 間髪いれずにtwitterにアクセスが
- 今回の反省点
- 8文字程度のパスワードは1分で突破される
- 全てのサービスを同一のIDと同一のパスワードに設定していた
- 同時期にFacebookが盛大に個人情報を漏らしていた
- 自分のパスワードが過去に漏洩しているかを調べる方法
- まとめ
凍結していたFacebook アカウントが解凍される
まず、プライベートのFacebook が解凍されました。 ある日突然メールボックスに、Facebookからアカウントが解凍されましたの文字が。 全く身に覚えが無く、恐る恐るログインしてみると、 確かにログインできる。 幸い放置していた友達アカウントは登録しておらず事なきを得ました。 たぶん不正にログインした人も放置アカンウントであることを察したのか、 パスワードを変更したり悪戯もせず、よくわからないアカウントのアナリストになってました。 アナリストってナニ?。 全くよくわかりませんが、ひとまずFacebookのアカウントはパスワードを変更した上で削除しておきました。
<届いたメールの画像のスクショです。
勝手に再開されていて焦りました。>
<アナリスト指名の画像です。
これをして一体何の得があるんやろうか。>
2ヶ月後にInstagram がアクセスされる
次に、2ヶ月後にInstagramがアクセスされました。
期間が経っていたので、全く油断していましたが、そういえばFacebookからもこんなん来てたな~とか思ってました。
こちらは、アプリ側の不正ログイン検出機能に引っかかってアクセスがブロックされていました。
Instagramは優秀ですね。
ウクライナから来てましたね。
その3日後にgoogle アカウントが不正アカウントされる
今度はgoogle アカウントでしたね。 スマホに使用しているアカウントだったので、突如不正なログインを検出しましたという警告メッセージみたいなのがでてきました。 この時点では、多要素認証が働いて こちらも、googleさんはやはり優秀で不正ログインをブロックしてくれました。
間髪いれずにtwitterにアクセスが
今度は、Twitterにアクセスがありました。
こちらも放置アカウントだったので、不正なログインとみなされてブロックされたようでした。
Greenwood Villageってどこなんやろ。平和そうな町の名前やな~とかまだまだのんびりしてました。
今回の反省点
合計4つのSNSアカウントにログインがあった訳ですが、事なきを得ました。 自分への教訓として次のことはしっかり反省したほうがいいなと。
- パスワードが8文字以下で強度が低かった
- 全てのサービスを同一のIDと同一のパスワードに設定していた
- どこかのタイミングでパスワードが漏洩した
8文字程度のパスワードは1分で突破される
パスワードは8文字設定しておけば安心という神話が跋扈していますが、 そんなことは時代遅れのようですね。 今どきのパソコンを使うと1分程度で突破できるようです。
下記のサイトを自分のパスワードを解読する際にどれくらいの時間が必要かを計算してくれますよ。 解読時間を増やすためのポイントとしては、大文字を使う/記号を使うでしょうか。 これらを使うと覚えるのが大変になるのですが、被害に合いたくない人は頑張りましょう~。
全てのサービスを同一のIDと同一のパスワードに設定していた
サービスごとにパスワードを変えたりするのって面倒ではないですか。 自分はほとんど全てのサービスを共通のパスワードで使用していました。 同一のメールアドレスを利用していたこともあり、それらを一挙に変更することにしました。 ただ、これが非常に面倒くさく、まず自分がアカウント登録したサービスなんてほとんどおぼえていない。 ひとまず、メールボックスの検索機能から、「新規登録」で検索をかけて、片っ端からパスワードを変える、 多要素認証に対応しているサービスはできるだけ登録するということをやっていきました。
同時期にFacebookが盛大に個人情報を漏らしていた
今思えばですが、これらの不正ログイン騒動と同時期にFacebookが盛大にやらかしていましたね。 流出させた証拠はなかなか提示できないのですが、時期から見ると状況証拠は揃っていそうです。 Facebook は個人情報やらOSSのライセンスやらこうしたコンプライアンス系の問題は何かとやってくれる印象です。
自分のパスワードが過去に漏洩しているかを調べる方法
今回、パスワードが漏洩した結果不正ログインされたわけですが、 自分の使用しているパスワードが漏洩しているのか不安ではないでしょうか。 そんな方のために漏洩しているかをチェックできるサイトを紹介します。 自分の使用しているパスワードを入力すると、それだけで漏洩されたか調べてくれます。 めちゃくちゃ便利でした。 自分が使用していたパスワードはしっかり漏洩されていました。
<パスワードを入力すると、過去に漏洩したパスワードのリストと照合し漏洩したかチェックしてくれる。自分が悪用されたパスワードはしっかりと漏洩(pwned)と判断されてました。>
まとめ
今回SNSが次々と不正ログインされたわけですが、 SNS側のセキュリティ機能によってなんとか事なきを得ました。 会員制サイトを作る場合はしっかりと多要素認証機能をつけておきたいですね。