コンピューターウイルスやサイバー攻撃が認知されるようになったころ、個人も企業も目指したのは「守りを強固に固めること」でした。脅威に対抗するセキュリティ製品は進化していき、セキュリティ業界はデジタルデバイスを利用する人への注意喚起と啓発を行ってきました。
しかし、防御を手厚くすれば、サイバー攻撃者は防御をかいくぐる手段を探し出す、その繰り返しが続いています。日本を含め、世界のあちこちで大型の情報漏洩事件が頻発するようになり、SNSなどのオンラインアカウントの乗っ取りが話題に上るようにもなりました。いつのころからか、「事が起きてしまったとき」の対応の重要性が説かれるようになりました。
そんなことを改めてつらつら書いたのは、同僚が最近、アカウントのハッキングに遭ったと聞いたからです。セキュリティ意識が高い人なので、ちょっと驚きでした。この経験が何らかの形で誰かの役に立つなら、との本人の希望により、一部始終を書くことにします。
それは、ある朝突然に
秋山さん(仮名)は、カスペルスキーに入社するまで自分はサイバーセキュリティに特別詳しいわけではなかったと言いますが、元々用心深いタイプです。パスワードを使い回すことの危険性について知ったときは、過去に作った自分のアカウントを洗い出してパスワードを全部変更し、使い回しをやめたそうです。サイバーセキュリティのことを深く知るようになって、自分のオンラインでの行動をさらに見直したとのこと。特にパスワードについては、適切な長さや複雑さを満たしているか、細かく確認していました。自分の個人用スマートフォンにフィッシングSMSが届いたとき、社内のITアナリストにすぐ報告を入れていたのを私も知っています。
ある日、秋山さんの個人メールアカウントに、とあるオンラインサービスからメールが届きました。誰かがあなたの投稿を気に入った、という内容のお知らせです。最初はスパムかと思ったそうですが、よくよく考えて、もうかなり前にアカウントを作ったことを思い出しました。こんなサービスに登録していたなんて忘れていたなあ、と思いつつ自分のアカウントを久しぶりに見に行って、秋山さんは仰天しました。プロフィールが身に覚えのない英文に変わっていて、見るからに怪しげなリンクまで掲載されています。しかも、誰だか分からない人たちをフォローしています。乗っ取られた。秋山さんは慌ててアカウントにログインしました。
幸いなことに、アカウントにはログインできました。何が起きたのかと、恐る恐るアクセス履歴を見てみました。登録したことを忘れていたくらいだったので、自分のアクセス履歴は5年以上前で止まっていました。ところが、数ヶ月前から現在にかけて、何十回もアクセスされた記録が残っていました。明らかに不正アクセスです。このサービスからの情報漏洩は過去になかったはず。だとすると、リスト型攻撃に遭った可能性が高いと秋山さんは考えました。
「リスト型攻撃」とは、どこかから手に入れたIDとパスワードを使って、手当たり次第にさまざまなオンラインサービスへの不正アクセスを試みる手法です。日本でも、リスト型攻撃(「パスワードリスト攻撃」「アカウントリスト攻撃」と表記されることも)によるとされる不正アクセス事件が、今年だけですでに複数件報じられています。この手法が有効なのは、同じIDとパスワードの組み合わせを、複数のサービスで使い回している人が少なくないためです。
秋山さんの場合、このようなハッキングを警戒して、持っているアカウントのパスワードをひとつひとつ違うものに全部変えていたはずでした。痛恨だったのは、自分の記憶から抜け落ちていたサービスのアカウントがあったことです。
朝一番に食らった衝撃から立ち直れないまま出社した秋山さんは、同僚のITアナリストに相談しました。「自分の個人アカウントですけど、どうも乗っ取られたみたいです」と言うと、パスワードを変更すること、怪しい投稿があればそれを削除すること、サービス提供元の会社へ報告することをアドバイスされました。秋山さんはパスワードをすぐに変更し、オンラインサービスの問い合わせ窓口に事態を報告するメールを送りました。
オンラインサービスのサポート窓口からは、翌日に返信がありました。取るべき対応がリストアップされていたので、秋山さんはそのとおりに対応し、最終的にアカウントを削除しました。
今回運がよかったのは、不正アクセスした何者かが、IDとパスワードをそのまま使っていたことでした。変えられてしまっていたら、アカウントにアクセスできず、難しい対応を迫られるところでした。「本当にラッキーでした」。秋山さんは私に話をする中で何度もそう言いました。そして「どうしてあのアカウントの存在を忘れていたのか…」と悔やんでいました。
対策が足りなかったからだ、と言うのは簡単です。しかし、物事に「絶対」「完璧」がないのも事実で、どこかから想定外のことが降りかかってくるような事態は、誰の身に置き換えてもあり得る話に思います。かくいう自分にも。そして、秋山さんがすぐに専門家のヘルプを仰いだのは、賢明な判断だったと思います。
乗っ取りに気づいたとき、できること
物事に「絶対」「完璧」がないとは言っても、想定できる範囲での対策は当然ながら不可欠です。パスワードを使い回さない、怪しいリンクは踏まない、セキュリティ製品は入れておくなどの対策をした上で、万が一何か起きたときには適切な対応を取る、というのが現実的かと思われます。
トラブルに遭ったとき大事なのは落ち着くこと、とよく言いますが、不意打ちをくらうと動揺するものです。取るべき行動が分かれば、気持ちをいくらかでも落ち着かせることができます。もしも自分のアカウントが乗っ取られていることに気づいたときは、アナリストが推奨する以下の対策を参考にしていただけたらと思います。
- アカウントにログインできるようなら、まずはログインしてパスワードを変更する。新しく設定するパスワードは、複雑で長いパスワードにしましょう。こちらの記事も参考にどうぞ。
- 悪用されたパスワードと同じものを別のサービスでも使っている場合は、そちらもすぐに変更する。他のアカウントで使っているパスワードを使い回さず、新しく作成しましょう。
- そのオンラインサービスに2段階認証のオプションがある場合は、設定する。
- 自分のアカウントから何か投稿されていた場合は、投稿を削除する。
- もう利用していないサービスであれば、過去の投稿を削除してアカウントを削除する。サービスの利用規約を読んで、アカウントを削除したときにユーザー情報がどう扱われるのかを確認するとよいでしょう。
- 各種オンラインサービスのヘルプページでは、アカウントが乗っ取られた場合の対処についての説明を公開しています。アカウントにログインできなくなっている場合の対応も書かれているはずです。気持ちが動転していない今のうちに、自分が使っているサービスのヘルプページを確認してブックマークしておきましょう。
おまけ:怪しいIPとリンクの正体
ところで、不正アクセス元のIPアドレスと、プロフィールにあった怪しいリンクは何だったか、気になりませんか?秋山さんから相談を受けたアナリストが調べたところ、不正アクセスはブラジルやルーマニア、中国など複数国からなされており、中にはスパム拡散やブルートフォース攻撃に使われていたIPアドレスもあったということです。プロフィールに貼られていたリンクはアダルトサイトへ誘導するリンクで、アクセスするたびに違うWebサイトが表示される仕組みでした。これらのWebサイトは、世界規模で展開するロマンス詐欺に利用されているらしいと判明したとのことでした。リンクの中に含まれる特徴的な文字列をネットで検索すると、世界各国のさまざまな人物のプロフィールに同じ文字列を含むリンクが掲載されていることが分かりました。秋山さんと同じ被害に遭った人たちが世界中にいる…もしかすると、次はあなたや私のアカウントが狙われるかもしれません。ちなみに、私は先日、改めてアカウント情報を総ざらいしました。パスワードの重複はないはず…そして、たぶん、記憶にある限りのアカウントを確認したはず…ですが、何か起きた場合はこの話を思い出して対応しようと思います。