～長いのはイヤなのでまとめへ～

『不正アクセスの経緯』

昔からYahooのメールサービスを使っていたのですが、ある事情でヤフオクを使うことになり、念のためとそのときパスワードを変更したんです。そしてヤフオクでの取引は滞りなく終了。

ところが４月になったばかりのころ、ひさしぶりにログインしたヤフーから「第三者からのログインがあった疑いがあります」というメッセージが来てて、ログイン履歴を調べてみたらちょうどヤフオクを使った直後から不正アクセスを受けていたらしい。
おもに台湾、そして中国。 日本の某所から。

ヤフオクを利用したことで、「おっ、こいつもしかしてYahooウォレット（ヤフーの電子財布）にクレジットカードとか登録してるかも？」と目をつけられて不正アクセスの対象になった可能性が高い。
（ヤフオクの説明だと、取引中は第三者にログインＩＤやメールアドレスが分からないようになりますって書いてあったけど、あまりにドンピシャなタイミングなので、なにかしら特定する方法があるのかもしれない。もしかしたら取引相手側（業者だったけど）から漏れた可能性も否定できない）

不幸中の幸いにも、ヤフーのサービス全般にクレジットカードの情報を記録しておかなかったので、勝手に送金されたりiTunesのプリペイドカードなどを買われることもなかった。ぎりぎりセーフ。

ところがどっこい。どうやらメールサービスに外部から不正アクセスされていたらしく、メールの履歴やデータを根こそぎ盗まれているらしいことが判明。
当然ながら本名や住所などは把握されているはず。GoogleMapで調べればどんな住処か分かるし、周辺から得られる情報は筆舌に尽くしがたい量となる。

さらにメールボックスには他のメールサービスやＷｅｂサービスのＩＤなどが残っていて、メールによってはパスワードまで書かれていたところもあったので大あわて。

実はここがオレの大失態なのだが、実は･･･パスワードをわりと使いまわしていました。（ででーん）
さらに、自分がおぼえておきやすいようにパスワードをあるパターンで並び替えたりずらしたりするようなこともしてた。
こうして被害にあってみれば、オレはなんてバカだったのかと。

メールボックスに残っている情報を照らし合わせてみれば、組み換えパターンなどは簡単に導き出せてしまう。つまり全てのパスワードが漏出したも同然･･･！

ところが、なぜかは知らないが不正アクセスしたやつらは他のサービスには手をつけていなかった。
たんにヤフーのサービスしか見ないような甘い犯人だったのか、もしくはまだ泳がされているのか･･･。

さいわい、重要なメールサービスや金を動かせるＷｅｂサービスに関してはパスワードを使いまわさずそれぞれ独立させていたのが最後の防波堤となってくれた。使い回しダメ絶対。（教訓）

なんにせよＩＤとパスワードを総入れ替え。 ３０～４０箇所ほどＷｅｂサービスに登録していたので、被害にあっていないかのチェック、IDとパスワード、二重認証の設定などかなり時間がかかった･･･。
当然、PCや端末のウィルスチェック、怪しいネットワーク履歴がないかもチェックしているうちにあれよあれよと時間が経ってしまった。

その間はYoutubeなどの活動もほとんどできなかったので、心配をかけてしまったかも。

『パスワードが漏れてしまう原因その１』

例えばフィッシングサイト。
とある企業のWebサイトやメールをそっくり真似て、商品を激安で販売するように見せかけておく。
釣られた人がパスワードやクレジットカード情報などを打ち込むように仕向ける･･･というのがフィッシングの一例。

ＩＤやパスワードをほかに使いまわしていたらさぁ大変。
仮にこういう事例でクレジットカード被害にあったとしても、被害にあったのはあくまで一時的に代金を立て替えているクレジットカード会社なので、警察に駆け込んでも被害者として認められないらしい･･･。
クレジットカードが悪用されたときの保障についてはそれぞれの会社の規約を一度読んでおくといいかも。

『パスワードが漏れてしまう原因その２ 』

ほかにはＷｅｂサイトでＩＤやパスワードを入力するページが「暗号化通信」に対応していないときに、外部から情報を盗み見られる可能性もあるらしい。
Youtubeのコメントなど第三者に見られてもいいようなものならいいのだが、ログインIDやパスワードはこの暗号化された通信のもとで行いたい。
ブラウザでいうとURL（アドレス部分）に「保護されています」とか「安全な通信」とか書いてあるはず。または企業名。

現在多くのWebサービスのログインページは暗号化通信に対応しているが、まれに未対応なサイトもある。
そういった「少なくなった穴」というやつは悪いやからの目につきやすい。

それと、せっかく対応しているサーバや電子証明書を持っていながら「ｈｔｔｐ」ではじまるアドレスに飛ばしてしまうリンクの貼りミスというものがあったりする。
暗号化通信をするにはｈｔｔｐｓ（最後にｓが付く）から始まるアドレスにユーザーを導かねばならないのだけど、これをうっかり忘れているパターン。
もし、ＩＤやパスワードを入れるページがｈｔｔｐｓでなかったら、自分でｈｔｔｐからｈｔｔｐｓに置き換えてみるといいかも。サーバが対応している場合、保護された通信が可能になる。

詳しくは、「ｈｔｔｐとｈｔｔｐｓの違い」や、「暗号化通信」などでググってみてください。

『パスワードが漏れてしまう原因その３』

いわゆるソーシャルハッキング。 ＰＣやネットを使った技術ではなく、直接的にパスワードを打ち込むところを盗み見たりする昔ながらの手法。

分かりやすいところで言えばＡＴＭを使うときに背後から暗証番号を打つところを見るとか。
パスワードの書いてあるメモなんかをパシャリと撮影しておくとか。
スマホでパスワードやＩＤを入力するとき、正面からでも指や目の動きを追えばだいたいの入力傾向が分かったりもする。

これらに関しては本人が注意深くなるしかない。「秘密」は誰しも気になってしまうもの。
たとえ仲のいい友達や家族であっても「もしかしてこのパスワードって通るかな？」と興味本位で不正アクセスに手を染めてしまうこともあるかもしれない。

隙のある人ほど周りの人間に魔を差させるというのは･･･残念ながらわりとあると思う。（あくまで個人的な見解であることは念押ししておきたい）

だからといって不正アクセスなどをした時点で悪いものは悪い。

好奇心に負けそうになったら、その隙をさらしている人物に説教してあげたほうが互いのためとなるかもしれない。

【まとめ】

スゲー長くなりましたが、まとめると、

ワタシは浅はかながらネットオークションに手を出し、まんまと目をつけられ、フィッシングあるいはパスワードの使い回しによる自業自得のすえに不正アクセスを受け、個人情報を盗まれたのである。

すんでのところでお金に関する被害が出なかったのは悪運が良かったとしか言いようがない体たらく。


『不正アクセス防止のための箇条書き』
・被害拡大の阻止のためパスワードの使い回しはダメ絶対。
・ワンタイムパスワードなど二重認証を設定しておけばパスワードが漏れても少し安心。
・怪しげなサービスはそもそも登録しない。
・ログインセキュリティがゆるいサービスにはカード情報を記録しない。
・ネットオークションや個人間売買など、悪人に目をつけられやすいサービス・アプリを利用しない。
・暗号化通信によって保護されていないＷｅｂページでは重要な情報を入力・送信しない。
・パスワードを書いたメモなどは人目につきやすいところに置かない。



ところどころ読みづらい文章で申し訳ないのですが、セキュリティの見直しなどを喚起できれば幸いです。
あと今のところ次の被害は確認できていないけれど、そのうち何かされる可能性もなくはないので引き続きログイン履歴などには注意を払いたいと思います。