こんにちは!ロドニーです。
実は先日初めての体験をしました。
なんと・・・
クレジットカード不正利用された!
mixiのアカウントを乗っ取られた!
いやー、焦りました。
立て続けに怒ったのでなおさら。
原因はおそらく、私の個人情報の流出です。
どこから漏れたのは知りませんが私自身にも現実的に起こりました。
IT系の業務に従事している傍ら、アカウント乗っ取られるなんてお恥ずかしい限りです。
とはいえ、Facebookのザッカーバーグ氏でさえも乗っ取られてた過去があるので個人情報の漏洩はネット時代おいて避けても避けられない宿命。
自宅の玄関のカギを閉めるのと同じように当たり前の意識付けなわけです。
実録!アカウントが乗っ取られるまで流れ
で、今回の私が乗っ取られたのはmixiのアカウントでした。
mixiを最後に更新したのってもう10年前とか・・・?
スマホアプリ上からも消えている完全に忘れ去っていた捨てアカウントでした。
※しっかりID/PASSは管理していたので問題なくすぐにログインできました。
mixiの運営から通知があったのは、6月12日(火) 20:59
ムカついたからIP情報とか晒す。
通知を開封してからすぐの6月12日(火)21:22にはパスワードの変更を完了させました。
乗っ取られてからパスワード変更までの時間は約20分。
が、マイミク(友人)への送信メッセージ一覧には・・・・
まじかよ・・・・。しかもマイミク全員に&日記としてまで公開する行動の早さ・・・。
ちょっと前に流行ったのはレイバンで今度はオークリー。なんでサングラス縛りなんだ…?
友達の皆様、スパムメッセージ本当にごめんなさい。
ちなみにこの乗っ取りが起きる数日前には仕事中にAmexのサポートデスクから
との確認連絡を受け、利用した記憶が全くないカードの再発行を行いました。
いや、本当に怖いよ。
SNSやクレジットカード等に個人情報はどこから漏れるの?
普段は日常的にセキュリティ面は意識しているので、思い返して見てもどこから情報が漏れたのか皆目見当がつきません。
いや、ホントになんでや・・・。
SNSやクレジットカードの情報はどこから漏れているのか?
調べて簡潔に下記の様にまとめてみました。
他のアプリ・サービスとの連携
同じID/PASSの使いまわし
知人になりすました第三者に情報を渡してしまう
パスワードの付いていないFree Wi-Fi通信
以上の四点が挙げられます。
他のアプリ・サービスとの連携
お使いのWebサービスやアプリサービスで【お使いのスマホ(またはPC)と連携しますか?】という内容で許可した事に身に覚えはありませんか?
ソーシャルログイン(※)や、信頼のおけないサービスで不用意に許可すると情報を根こそぎ抜き取られる事があります。
一昔前に有名だったのはFacebook内でカレンダーと連携しますか?自分自身の情報は根こそぎ抜かれるわスパムレベルで勝手に友人にアプリ招待出しまくるわで大問題になったやつ。
それ以降も○○検定!とか○○占い!とかでアプリ連携を求めて情報を抜かれてしまうってやつがありましたね。
連携を求めるアプリが信頼のおけるサービス(しっかりとしか会社)なのか?
不用意に許可せずに、しっかり見極めて連携許可をしましょう。
※・・・持っているSNSアカウントで他のサービスに情報登録なしでそのままログイン出来てしまう機能
同じID/PASSの使いまわし
例えばA、B、C、Dという全く違うサービスで、全く同じIDとパスワードで登録したとします。
ID:Tora
PASS:Rodney
とか。
で、Aのサービスがハッキングされて個人情報が流出した場合、B、C、Dのサービスでの不正アクセスや不正利用の危険性がグッと高まってしまうわけです。
おそらくITリテラシーの高い低い関係なく多くの人に該当するのではないでしょうか?
ハッキングの技術もめっちゃ進化していて、違うパスワードで設定していたとしてもシンプルな英数字の組み合わせは簡単に突破されます。
参考までにSplashDataが発表している最も人気な(バレやすい)パスワード2017年版を載せておきます。
- 123456
- Password
- 12345678
- qwerty
- 12345
- 123456789
- letmein
- 1234567
- football
- iloveyou
- admin
- welcome
- monkey
- login
- abc123
- starwars
- 123123
- dragon
- passw0rd
- master
- hello
- freedom
- whatever
- qazwsx
- trustno1
心当たりはありますか?w
IDは一緒だとしてもパスワードだけは各サービス毎に違うPASSで設定した方が良い対策でしょう。
合わせて、大文字英字や記号を等を使った複合的なPASSであれば突破される確率は低くなるはずです!
例:Gokou-No-Tora/0617/
とかね。
知人になりすました第三者に情報を渡してしまう
これも巧妙な手口です。
Facebookの場合、「見知らぬ美女」「既に友達になっているはずの友人」から友達申請が来た経験はありませんか?
しかし、タイムラインを覗いてみるとプロフィール写真をつい最近変更したばかりで、過去の投稿がほぼ皆無。
これはほぼスパムアカウントです。
鼻の下を伸ばしたスケベなおっさんとか、友人だから大丈夫っか!みたいな行動心理を上手く利用した巧妙な手口や・・・。
なんでこんなことするのか?これらのスパムアカウントの目的は以下の通り。
- メールアドレスなど個人情報の抜き取り
- 悪質な外部サイトへの誘導
- アカウントの乗っ取り
うっかりスパムアカウントを承認してしまえば、自分だけでなく友達やその他の繋がりのあるユーザーにまで被害が及ぶ可能性があります。
FacebookだけでなくLINEでもアカウント乗っ取られた友達から
なんて不自然なメッセージが届いて、気づかずに教えてアカウントを乗っ取られる事例なんかもありましたね。
LINE公式からも注意喚起が出てますね。
見知らぬ人からの友達申請や、友人からの不自然なメッセージに警戒するようにしましょう。
パスワードの付いていないFree Wi-Fi通信
ID/PASSの使い回し同様に多いであろう情報漏れの経路はこれなんじゃないでしょうか。
今では公共施設やビジネスホテルには数多くのWi-Fiが設置されていますが、パスワードのかかっていないFree Wi-Fiはめっーーーーちゃ危険です。
ID/PASSとなにが違うのかって、情報がダダ漏れになってしまうこと。
ITリテラシーが低い人に関しては
ってレベルの人が当然の様におります。やばいやろ・・・。
パスワード無しのFree Wi-Fiを使うってことは、透明の部屋で生活しているようなもので何から何まで丸見えってことですよ?
セキュリティの弱いWi-Fiを利用してSNSへのログインや、ネットショッピングでクレジットカード情報を送信してしまえば・・・
- サイトに登録している個人情報が漏れる
- 知らないうちに買い物をされてしまう
- SNSアカウントが乗っ取られる
こんなことが起きてしまうわけです。
だってシースルーな通信でシースルーな状態だから。w
細かい技術等の説明はここでは省略しますが、対策はただ一つ。
パスワードの掛かっていないWi-Fiは絶対に使うな!!!
これだけです。
こちらの記事でも紹介しているチビWi-Fiですが、旅行時のホテルの宿泊などではこれを使うのがおすすめ!
パスワード無しのWi-fiを使いたいなならどうすれば良いのか?
動画見ていたりしていると通信制限があっという間に掛かる。だからパスワードのないWi-Fiでもガンガン使ってしまう。こんなケースも多いかと思います。
それでも情報が漏れる危険性は回避しなければならないわけです。他の人にも迷惑がかかるから。
そんな場合は、VPNを設定してすれば安全性を確保して利用できます。
VPNとはVirtual Private Networkの略で、サーバーとクライアント間の通信を暗号化する技術で・・・要は仮想トンネルを構築して情報を保護しながら通信するってことです。笑
ただ、VPNのデメリット毎月の月額費用が掛かってしまうサービスがほとんどで、無料のサービスがあっても1日200MBで制限が掛かってしまうことでして・・・。
月額払うなら自分で月額のWi-Fiルーターレンタルして使ったほうが良いですわな。
通信セキュリティも確保できるタウンWi-Fiアプリがおすすめ!
おすすめのWi-Fi接続アプリは遥か以前に知っていました。笑
実はiPhone7plusに機種変更する前にいろいろと調べていたら下記のアプリに辿り着いていたのです。
それが、タウンWi-Fiという街中おWi-Fiに自動で接続してくれるアプリです。
タウンWi-Fiのメリット
自動で街中のWi-Fiを検索して適時接続してくれる
本来はサービスに登録が必要なWi-Fiも登録不要で自動接続
アプリでVPNを提供・構築してくれているのでセキュリティも安心
VPN無料って・・・これ、すごくないですか?
通信制限に困ったら助けられること間違いなしのアプリです。
デメリットとしては、接続するWi-Fi次第では通信が安定しないってことくらいですかね。
無料でしかも安全性も確保できるなら文句言えないでしょ。
まとめ
正直、私自身の個人情報がどこから漏れたのは今現在でも不明です。
一つだけ言えるのはチビWi-Fiを使っていても、タウンWi-FiでVPNでの通信をしていても、
どこでだって個人情報が漏れる可能性があるということです。
日頃からセキュリティを意識していたって個人情報の漏洩は100%は防げないこと。
しかし、本日書いた防止例を意識しているだけで情報の漏洩の可能性はグッと低くなります。
もし、情報が漏れてしまったらどうするか?
と、ならないようにしっかりとIDとPASSはすぐにわかるようにメモして保管しましょう。
また次回!