いままで自分は大丈夫だと自信満々だったのですが、ついにやられてしまいました…。その名も不正ログイン。ある日とつぜんその通知はやってきます…みなさん、自分だけは大丈夫だと過信していませんか?
INDEX
GoogleやiPhoneに不正ログインの通知が!
いつもと違う端末でログインをすると「Google(Twitter)にログインがありました。ログインに心当たりがない場合は~」みたいな通知がくるのですが、その日の通知は全く違いました。
まず最初の不正ログインはTwitter。いくつかアカウントを持っているのですが、自分がよく使うメアドで登録したアカウントに対してこんなメールが届いたんです。
ピロリん。
いつもと違う場所でログインされてますよ。あなた、東京の江東区でログインしましたか?
え?!いま帰省中でそもそも東京になんていないんですけど…しかもログインもしてないし、なにこれ?!
ということで、さっそくTwitterのログインパスワードを変更。これで解決!と思っていたらなんとなんと…それだけでは終わらなかったのです(泣)。
パスワード変更しても破られる恐怖
それから1週間くらいはとくに何ごともなくTwitterで不正ログインされたことすら忘れていた私。しかし夜遅くにまたもや通知が…。
ピロリん。
アカウントに危険を及ぼす恐れのあるアプリからのGoogleアカウントへのログインをブロックしました。
へっっ???
危険を及ぼすアプリ?怖すぎる…
ということでまたもや不正ログインをされそうになったので、その場ですぐパスワードを変更。実はこのGoogleアカウント、最初に不正ログインされたTwitterで使っていたものなんです。
しかもこの不正ログインこれで終わりではありません。
パスワードを変えたというのに、そのあと2日で次のような攻防がありました。
Googleから危険なアプリからのログインをブロックしましたという通知がもう一度くる。
👇
ものすごく複雑なパスワードに変更。
👇
今度はそのGmailアドレスで登録していたAppleIDから不正ログインのブロック通知がくる。
👇
AppleIDのメールアドレスを変更する。
これって同じメアド使ってログインしている他のサービスも危ないんじゃない?!
と恐怖を感じたわたしは休日返上で利用しているサービスのログインIDとパスワードの変更を行うことに…GoogleだけならまだしもiPhone(AppleID)まで不正にログインされそうになるっていうのは想像もしていませんでした。
パスワードとメアド使いまわしは超危険!
今回こんなことになったのも
- 利用しているサービスのアカウントとして同じメールアドレスを使っていたこと
- パスワードを使いまわしていたこと
この2点が最大の原因です。
パスワードは使いまわしちゃダメだって習わなかった?それでも元SEかい?
くっそ~!!!ぐうの音も出ないとはこのことだ!
数年前はサービスごとにパスワードを変えていましたが、さいきんはネットサービスのお世話になることがおおいため、2~3種類のパスワードを使い分けるという方法をとっていたんですよね(完全に言い訳)。で、こんかい同じパスワードを使っていたTwitter→Google→iPhoneと不正ログインが多発したという結果に…。
この3つ以外にも同じパスワードを使っているサービスがあったため、登録しているネットサービス全77サービスのうちメールアドレスが同じものはすべてメアドの設定変更をし、パスワードも全部変えるということをしました。
途中で投げ出したくなるくらい大変だったよ~(泣)でも放置してクレカの情報や他のパスワードまで盗まれたり、勝手に買い物されたりするほうが被害大だから対策するしかないよね…
ということで、声を大にしていいます。
今回は他のサービスへの不正ログインまで至らなかったので事なきを得ました。でも運が悪ければお金にかかわる被害もあり得ます。
面倒だからと同じメアド、同じパスワードを使っている人は今すぐ見直すことを強くおすすめします。
無料で会員登録したサービスも要注意!
ネットが身近になったことで管理しないといけない情報が増え、ぜんぶのパスワードを違うものにするのは大変だな…と思うのはわたしだけではないはず。この不正ログインをきっかけに整理してみたら、使っているサービスはぜんぶで77個にも及びました。
77って多いな…ラッキーセブンかよ。
日常生活で使っているもの以外にもブログ運営関係のアカウントもあるからね…これでも不要そうなのを削ったんだよ。今回整理してパスワードを変えた77のサービスとは別に20個のサービスを退会(解約)したからね。
つまり100近くあったわけね…
そうなんです!おどろくべきことに無料だからと会員登録したサービスを含めるとなんと100近くあるではありませんか…その中でも使っていないであろう20サービスは今回を期に退会しました。
登録しておくぶんには無料なので「いちいち退会するのもめんどうだし、そのままでいっか」と放置してたのですが、よくよく考えてみると放置しているサイトからメアドなどが流出する可能性もあります。
それでもまだ77個も利用しているサービスがある…これ全部のパスワード管理すんの?とかるい目眩を覚えましたが、そこは元SEの知識を総動員して、労力を抑えつつセキュリティを確保する対策を練りました。
手間を最小限にセキュリティを強固にする方法
まず最初に私がとった方法をまとめておきます。
- 不正ログインされそうになったメアドのパスワードをものすごく長く複雑にしておく
- Google Chromeの同期を解除しておく
- 登録しているであろうサービスをすべて洗い出し使わないものを解約する
- メールアドレスを用途に合わせて複数用意する
- 重要なサービスのパスワードはすべて違うものにする
これ、見ただけでめんどくさいですよね?めんどくさいんですよ。ほんと。真面目にやったらいつ終わるのか分かりません。
ネットで買い物をする人、ネットバンクを使っている人なら意外と10~20のサービスに登録しているのではないでしょうか?それら全部に対策するって面倒ですよね。ほんと。
たしかにぜんぶのサービスでメアドもパスワードを違うものにするとなると大変なのですが、用途に応じてちょっと工夫をするだけで手間がかなり軽減するので、その方法を含めつつセキュリティを強固にする方法を大公開!
①不正ログインが発覚したらまず長くて複雑なパスワードにしておこう
今回の私の例から分かるように、ちょっとパスワード変えただけではまたすぐログインされてしまいます。
実際のパスワードは公開できないので雰囲気でいうなら「oneone1234」というパスワードを「oneone9898」みたいに変更したのですが、いとも簡単に破られました。
つまり一部だけ変えても安心できないってことです。一度不正ログインされかけたら、これ以上ログインされないように今までのパスワードとは全然違う長~い複雑なパスワードにしておきましょう。
長いパスワードを覚えられない、長いパスワードが思いつかないという人はパスワード管理ツールの『TrueKey』がおすすめ👇パスワード15個までなら無料で使えます。
またGmailを利用している人は2段階認証を有効にしておきましょう。そうすればパスワードが破られてもSMSに送られてくるワンタイムパスワードを入力しない限りログインできません。
②Gmailアカウントに不正ログインされたらChromeの同期を解除せよ
Googleってホント便利で無いと困るくらい依存してます。別のパソコンで使っているChromeのツールバーも同期できるし、ログイン情報、クレジットカード情報、入力補助までなんでもやってくれます。
でもこの便利な機能が落とし穴!他の人があなたのGoogleアカウントを使ってログインに成功すると、自分が便利に使っているその機能がアダになるんです…つまり、不正ログインされるとChromeに保存されているカード情報やほかのサービスのパスワードも筒抜けってこと…こーわーいー!!!!
ということで、Gmailアカウントに不正ログインされたらまず同期を解除しておきましょう。ついでに利用しているサービスがバレるきっかけになるので、メルマガなど不要なメールも削除しておきましょう。
不正ログインされていない場合も普段から次のことに気を付けることで、いざ不正ログインされたときの被害を最小限にできます。
- GoogleChromeの同期機能はオフにしたほうが安全
- 同期する場合も設定で項目を絞っておく(クレカ情報は同期しないなど)
- メルマガなどから使っているサービスや情報がバレるので不要なメールは定期的に整理する
こんな面倒なことしたくない!便利な機能はそのまま使いたい!という人は2段階認証必須です👇
③サービスを洗い出して使っていないものは解約・退会する
不正ログインが発覚して整理をしたところ、使っていないサービスが想像以上に多いことに気づきました。「そのうち使うかも…」と思って2年前に登録してそのままだったアカウントなんかも…。
クレジットカードで決済するサービスはその情報が漏れる可能性や不正利用される危険性があるので放置しておくのは危険です。決済時にセキュリティコードを入力するサイトが主流なものの、なかにはカード情報だけで決済できてしまうものも存在します。
クレカ情報は見れないとしても誕生日や名前などの個人情報は不正ログインされると確実に漏れてしまいますね。使っていないサービスは定期的に整理しましょう。1年以上使ってなければ解約・退会を考えましょう。洋服を整理するときと一緒です。
④メールアドレスを複数用意して使い分ける
1番おすすめなのが、メールアドレスを複数用意するということです。今回の件で実感しましたが、すべてを一つのメールアドレスでやっていると不正ログインされたときに同じメアドで登録している他のサービスすべてが危険にさらされます。
普段の連絡にも同じメアドを使っているとなると簡単にそのアドレスを捨てることもできません。
ですので、
- 親しい人と連絡する用のアドレス
- セキュアなサービス用のアドレス(金銭が絡むもの)
- SNSやメルマガ会員などメアドがバレてもそんなに困らないサービス用のアドレス
の3つに分けると安心。
面倒かもしれませんが想像してみてください。③のように大して影響のないサービスからメアドやパスワードが漏れたとします。これが①、②、③でメアドが分かれていれば①や②にたどり着くことは難しいですが(可能性はゼロではありません)、全く一緒のアドレスを使っていたらどれも危険な状態。
実際わたしはほとんどのサービスで同じアドレスを使っていたので①、②、③のすべてでメアドの変更を余儀なくされました。これ、めちゃんこ大変です。丸一日パソコンで作業してました。
フリーのメールサービスを使えば複数のメアドを持つのはとても簡単。とくにOutlook.comはエイリアスの登録ができるので1つのアカウントで複数のメールアドレスが登録できるので便利です。
メールアドレスの使い分けの例を挙げるとこんな感じ👇
- 連絡用:hogehoge@gmail.com
- 銀行やクレカのオンライン用:hogehoge.for.money@outlook.com
- SNSやメルマガ用:hogehoge.for.sns@outlook.com
GmailとOutlookでメールサービスが分かれるとチェックするのが大変…と思うかもしれませんが、他のメールサービスのメールをインポートする機能を使えば一括でチェックできます。
ちなみにメールアドレスでは「+」以降の文字がメアドとして認識されないという機能があるのでメールアドレスをアカウント名として使う場合は「+」を使って任意の文字列を付けておくとメアドが流出しても他のサービスには簡単にログインできません。※ただし「+」付きメアドでアカウント登録できないサービスもあります。
例)アドレス:hogehoge@gmail.com
- Amazonのアカウント:hogehoge+amzn@gmail.com
- 楽天のアカウント:hogehoge+rktn@gmail.com
- ツイッターのアカウント:hogehoge+twttr@gmail.com
この例だとそれぞれアカウント名は違うものになりますが、送られてくるメールはすべてhogehoge@gmail.comに届きます。
ただしこれだけでは十分なセキュリティ対策にはならないので本当に守りたいアカウントはメールアドレス自体を別にする、パスワードを強固なものにするのが一番です。この例の方法だと知識がある人が見たら「+」以降は認識されないということを知っているので本来のメアドはバレバレなので(;^ω^)
⑤重要なサービスだけでもパスワードは複雑にしておこう
さていろいろと方法を書いてきましたが1番効果があるのはパスワードはサービスごとに変えておくということ。とはいっても、そんなにパスワードを覚えられない…という人はパスワード自体に規則性を持たせましょう。
IPA(情報処理推進機構)の情報が参考になります👇
あとは元のパスワードは一緒でも途中にサービスごとで特定の文字(キーになるもの)を入れるという方法もありです。
例)元パスワード:tekuteku2525Aruku (てくてくニコニコあるく で覚えられます)
ー ルール:tekuteku (サービスごとのキー)2525Aruku ー
- Amazon(キーはAMZ0)⇒tekutekuAMZ02525Aruku
- 楽天(キーはRKTU)⇒tekutekuRKTU2525Aruku
- Yahoo(キーはYHO)⇒tekutekuYHO2525Aruku
もとのパスワードとルールだけ覚えておいてサービスごとのキーだけどこかにメモしておけばOKという方法です。
こういった方法をとるのがそもそも無理!という人は、いさぎよくパスワード管理ツールを導入しましょう👇
パスワード管理がとてもラクになるTrueKey
これ、本当に使いやすくておすすめです。近いうちにこのアプリのレビューも記事にする予定なのでお楽しみに♡
一度漏れたら芋づる式…そうなる前の対策を!
けっこう複雑なパスワードを設定しているつもりだったので、今回のできごとはかなりダメージを受けました…心身ともにかなりキテます。自分だけは大丈夫と思っているほどキケンなので、不正ログインされるまえに対策をとりましょう。
1つのメアドですべてを登録している人は、それが破られたら芋づる式です。なにが怖いって、今回の不正ログインはなぜかGmailアカウントからではなくTwitterアカウントからなんですよね。たぶんセキュリティが弱いところから攻めてきてるんでしょうね…Twitterの乗っ取りもよく聞く話です。Googleさんは2段階認証もありますしセキュリティはしっかりしてます(設定してなかったのをいまさら後悔)。
とにかく対策するのに疲れましたがいい勉強になりました!みなさんも気を付けましょうね。
おわり。
