親愛なる読者諸君!
オタクパパだ!
前回、他の端末からLINEを乗っ取られそうになった話をした。
ところで、そう簡単にLINEを乗っ取ることなんてできるのだろうか?
それについて、いろいろ調べてみたところ、
恐るべき事実が判明した
ので、今回はそれについて紹介しよう。
【2019/01/08 追記】
知らないうちにメールパスワードが盗まれていた!
ところで、どのようにすれば、LINEの不正ログインが可能になるのだろうか?
実は
メールアドレスとパスワード
を知ることができれば
LINEへの不正ログインが
可能になる
そうだ。
実際、LINE 公式ブログによると、他社サービスから流出したメールアドレス・パスワードを第三者が悪用することにより、LINEへの不正ログインがされている事象が確認されているそうだ。
参考
そのため、LINE Corporationは、他社サービスと同じパスワードを設定している場合は、ただちにパスワードの変更を行うべきであると、ユーザーに強く推奨しているそうだ。
一方、LINEの公式ブログによると、LINEのアカウント情報(電話番号・アカウント名・LINE ID・登録メールアドレス・パスワード等)が外部に流出したという事実はないという。
とすれば、私のメールアドレスとパスワードは一体どこから流出したのだろうか?
メールパスワードが盗まれたか否かを一発でチェックする方法
ところで、メールパスワードが盗まれたかどうかを一発でチェックできるサイトがある。
「have i been pwned?」(https://haveibeenpwned.com/)というサイトだ。
このサイトは、過去に300以上ものサイトで漏洩した56億以上ものアカウントを記録している。
使い方は簡単で、上の検索窓にe-mailアドレスを入力して、右の「pwned?」をクリックするだけで、そのアドレスが盗まれたか否かを知ることができる。
ためしに、私が使用しているメールアドレスをいくつか入力してみた。
下は、1つ目のアドレスでチェックした結果だ。
上のように
Good news – no pwnage found!
となれば、そのメールアドレスは漏洩していないそうだ。
一方、2つ目のアドレスでチェックすると、次のように真っ赤な画面になった。
Oh no – pwned!
こうなったら、そのメールアドレスは、どこかで漏洩しているそうだ。
「Pwned on 1 breached site」とは、1つのサイトで漏洩があったことを示している。
謎のハッカーから送付されてきた恐怖のメール
実際、このメールアドレスからは、毎日のようにスパムメールが送られてくる。
下のメールは、私の電子メールとデバイスをクラックしたハッカーから送られてきたメールだ。
驚くべきことに、
上のメールに書かれた
メールアドレスとパスワード
はかつて私自身が実際に使用
していたもの
だ。
このように、
私のメールアドレスと
パスワードは完全に
漏洩していた
のだ!
ちなみに、上のメールを受け取った場合は、メールの文面を完全に無視して迷惑メールフォルダに入れたまま放置することをオススメする。
ハッカーのメールには、私のOSに悪質なコードがアップロードされただの、トロイの木馬がインストールされただの書かれているが、ハッカーから予告された48時間を経過しても、まったく何の被害もない。
要するに、このメールは、ハッカーにお金を送金させるための詐欺メールなのだ。
くれぐれも騙されないように気をつけよう。
どこでパスワードが盗まれたのか?
ところで、いったいどこでパスワードが盗まれたのだろうか?
実は、このようなパスワード流出事件は、過去に日常茶飯事のように報告されているのだ。
約506万人分もの個人情報の流出
例えば、中国の利用者向けの中継サーバー運営会社「SUNテクノ」のサーバーに
約506万人分もの個人情報
が保存されており、そのうち約6万人分ものIDとパスワードを用いて楽天、LINE、amazonに不正接続された形跡があったことが、2015年4月17日の産経ニュースに報じられている。
出典
また、このとき流出したパスワードがAmazonで悪用されたという体験談が「なまけるのに飽きるまで」の管理人のぬーん氏により報告されている。
参考

それでは、私のパスワードもこのとき流出したのだろうか?
その可能性も考えられなくはないだろう。
なにせ約6万人分もの大規模な不正接続が行われたのだ。
個人情報の流出から不正アクセスまでの期間が長すぎる件
だが、ここで、一つだけ気にかかる点がある。
仮に、2015年の時点で私のパスワードも流出していたのだとすれば、上のぬーん氏と同様に、私のパスワードも2015年に悪用されていたはずだ。
しかしながら、私のLINEが乗っ取られそうになったのは、今年の3月なのだ。
つまり、
個人情報の流出から
不正アクセスまで
約11ヶ月もかかった
ことになる。
だが、常識的に考えれば、個人情報の流出がメディアに報じられた時点で、多くのユーザーはパスワードを変えるなりして不正アクセスの対策を講じるのが普通だろう。
それゆえ、個人情報を入手したクラッカーからすると、メディアに報道される前に速攻で不正アクセスを試みるのが賢明ではないだろうか?
そう考えると、個人情報の流出から1年近くたってから不正アクセスを行うのは、あまりにも悠長すぎるように思われるのだ。
それに、LINEの公式ブログは、
「LINEのアカウント情報が外部に流出したという事実はない」
とはっきり記載している。
とすれば、LINEとは全く別のサービスからパスワードが流出した可能性も十分に考えられるだろう。
LINE以外のサービスからパスワードが流出していた?
1つのパスワードの使い回しが命取りに?
実をいうと、私は、LINE以外にも、
問題のパスワードを
YahooとPSN
(PlayStation Network)
の2つのサービスにも
使用していた
セキュリティ上よくないことだが、私は上記3つのサービスに同じパスワードを使い回していたのだ。
もっとも、今ではこれに懲りて、サービス毎に別々のパスワードを用いるようにしている。
2億5000万件を超えるハッキング
それでは、これら2つのサービスのいずれかからパスワードが流出したのだろうか?
Yahoo関連で、過去に個人情報の流出に関するものとしては、
2億5000万件を超える
電子メールアドレスと
パスワードがハッキング関連
のフォーラムで発見された
というニュースが2016年5月にCNET Japanにより報じられている。
出典

だが、米YahooとGoogle、Mail.Ruによると、ユーザーのパスワードが危険にされされた可能性は極めて低いそうだ。
また、Yahooは声明の中で
「この件に関して、当社のセキュリティチームが調査を行った。
報道機関に伝えられた主張に基づいて、当社(『Yahoo Mail』)ユーザーに対する重大なリスクは存在しないとわれわれは考えている」
と述べている。
一方、Hold Securityの最高情報責任者(CIO)を務めるAlex Holden氏によれば、今回問題となっているログイン情報のデータベースは
「『TwitterやFacebook、そのほかの無数のサービス』への誰かのログイン情報である可能性は十分にある」
とのことだ。
PSNも毎日ハッカーに攻撃されている!
PSNから7700万件もの個人情報の漏洩
一方、PSNも、2011年4月18日から20日にかけて不正アクセスが行われ、
7700万件もの
個人情報が漏洩した
というニュースが話題になった。
出典

だが、これは6年も昔のことであり、私がPSNにアカウントを登録したのはそれよりもずっと後のことだ。
だが、SCEワールドワイド・スタジオ代表取締役会長 吉田修平氏によると、
PSNは毎日ハッカー
に攻撃されている
という。
出典

その証拠に、2017年3月10日にも、ソニー・インタラクティブエンタテインメントジャパンアジアが、次のような注意を喚起している。
出典
それによると、プレイステーション カスタマーサポートに
Sony Entertainment Network(SEN)アカウントのサインインID(メールアドレス)が勝手に変更されPlayStation™Networkを利用できなくなった
という問い合わせが殺到しているという。
これに対し、ソニー・インタラクティブエンタテインメントジャパンアジアは、不正アクセスが起こった理由として、
「PSN以外のサービス等から不正に入手したメールアドレスとパスワードが問題」
だと述べている。
2017年の3月ということは、私のLINEが乗っ取られそうになった直前だ。
ということは、私のパスワードはこの時点で盗まれたのだろうか?
個人情報流出の出所がさっぱり分からないミステリー
不正アクセスのまとめ
ここで、私が調査した事実を時系列にまとめると、次のようになる。
2015年4月
LINEへの不正接続の疑いが報道される
↓
2016年5月
2億5000万件を超える電子メールアドレスとパスワードが、ハッキング関連のフォーラムで発見され、TwitterやFacebook等のログイン情報である可能性が十分にあるとのこと
↓
2017年3月10日
SENアカウントのメールアドレスが勝手に変更され、PSN以外のサービス等から不正に入手したメールアドレスとパスワードが問題とされる
↓
2017年3月30日
私のLINEが乗っ取られそうになる
上の事実から分かるように、私が同じパスワードを使い回していたLine, Yahoo, PSNの3つのどのサービスも、個人情報の流出や不正接続の問題が報じられていたのだ。
Line, Yahoo, PSNの責任のなすりあい
ここで奇妙なことがある。
実は、パスワードの漏洩が疑われたLINE, Yahoo, PSNのいずれのサービスも、
自社サービスから
個人情報が流出した
可能性は低い。
他社サービスから
流出した疑いがある
と主張している点だ。
ここで、次のようなシチュエーションを想像してみてほしい。
あなたは、自分しか知らない大事なパスワードを
立派な肩書きをもった
信用できそうな3人の友人
LINE君とYahoo君と
PSN君に打ち明けた
としよう。
そして、あなたは、これら3人の友人以外の誰にも、自分のパスワードを漏らしたことはない。
だが、そんなある日、あなたは、LINE君から突然、
「ごめん!
どうやら、君のパスワードが漏れたみたい」
と告げられて愕然とする。
そこで、3人のうち誰があなたのパスワードを漏らしたのかを知るため、あなたは、LINE君、Yahoo君、PSN君相手に、過去にパスワードを漏らしたことがないか尋ねてみることにする。
すると、彼らは3人とも、次のように答えたのだ。
「君のパスワードが
漏れたのは確かだ。
でも、それは
僕のせいじゃない!
きっと、他の誰かが
漏らしたんだよ!」
あなたがパスワードを打ち明けたのは、LINE君、Yahoo君、PSN君の3人だけだ。
だが、この3人のいずれもが
「自分はパスワードを
漏らしていない
他の誰かのせいだ!」
と主張している。
これは一体
どういうことなのだ!?
あ…ありのまま 今
起こった事を話すぜ!
な… 何を言っているのか
わからねーと思うが
おれも 何をされたのか
わからなかった…
頭がどうにか
なりそうだった…
もっと恐ろしいものの
片鱗を味わったぜ…
引用 荒木飛呂彦「ジョジョの奇妙な冒険」より
LINE君、Yahoo君、PSN君のうち、誰かが嘘をついているのだろうか?
信頼してパスワードを預けていたのに、
ふざけんじゃねえよっ!!
というわけで、読者諸君も、私のような恐ろしい目に遭わないよう、どんなに信頼性の高いサービスであっても、過信せず、
1つのパスワードを
複数のサービスで
使い回さない
面倒でもサービスごとに
パスワードを使い分ける
ように心がけ、個人情報の流出には十分に注意してほしい。
オタクパパより愛を込めて!
[st-card id=212 label=”あわせて読みたい” name=”” bgcolor=”” color=”” readmore=”on”]
[st-card id=310 label=”あわせて読みたい” name=”” bgcolor=”” color=”” readmore=”on”]
コメント