パスワード漏洩から再設定まで

パスワード漏洩からSPAMメール到着まで

2019年趣味でやっているトレーディングカードゲームのショップや販売元会社(オンライン版)から
「個人情報が漏洩したよ」
みたいなメールが届いていたがバタバタしていて、ケアできていなかった。

しばらく経ってからSPAMで「パスワードわかったぜXXXXXだろ?」みたいな英文のメールが届いた。
確かにどこかのショッピングサイトで入れたパスワードだった。
どこから漏洩したかは確定できていないが、可能性としては下記。

  • ユーザ登録サイトからの漏洩
  • フィッシングサイトに引っかかった

重要な登録(決済関連)などに使っているパスワードではなかったので被害はなかったけれどもこれを期にパスワード再設定することにした。

パスワード設定について

パスワードの設定に関しては、総務省からも情報が出ている。

国民のための情報セキュリティサイト>設定と管理のあり方

基礎的なことは上記をみていただけたら大丈夫だとおもう。本文最後のまとめで抜粋して紹介します。
今回被害がほぼなかったのは下記を実行していたおかげ。

パスワードを複数のサービスで使い回さない

総務省のサイトにも書いてあるがメールアドレス、アカウント、パスワードが漏洩した場合、その情報を使って他のサイトへの不正ログインを試みられる。
そして今回再設定していて感じた一番漏洩してはいけないパスワードは下記。

メールアドレスの受信パスワード

大抵の認証システムはパスワードを忘れた際に、メールあてにパスワード設定用の認証コードやURLを送信し変更することを可能にしています。ゆえに、メールアドレスの受信箱にアクセスできるということはほぼ全ての認証を突破されてしまう可能性があります。

他のサイトでもたくさん紹介されています。「メールアドレス ハッキング」等で検索してみてください。
パスワードを複数のサービスで使い回さないのが大事ですが特に、メールアドレスの受信パスワードは唯一固有の物を設定することをお勧めします。

パスワード設定時に心がけること

パスワード自体

  • 個人情報から推測されない
    →漏出した住所や生年月日、電話番号から推測できない
  • アルファベット小文字・大文字・数字・記号の組み合わせ
  • 自分の趣味や思考から類推されない
    →幕末の歴史が好きだからRyomaとかゴルフが趣味でPatとか
  • 8文字以上推奨
    →もちろん長ければ長いほど良いが最大文字数が設定されている場合もある。

パスワード使い回し

  • メールアドレス受信用は絶対固有
  • 決済が絡む物(PayPalとかAmazonとか)も固有
  • 通販サイト等個人情報を登録する必要がある場合もできれば固有が良いが上記と別のパスワードを使用だけでも被害は抑えられる。
  • 捨てパスワードを用意する。(ブログのコメントや情報サイトへのログインとかたまに要求されるパスワード。

記憶には限度があるので、複数パスワードを設定するとなるとどうしてもどこかにメモなどを取らざるを得ない。それもまた漏洩のリスクとなる矛盾。手帳など物理的な物に書いて鍵がかかる引き出しに入れるとかが無難かと思っています。最適解は自分でも模索中。

パスワードマネージャーと2要素認証を使用する

最近では2要素認証を用意しているところがほとんどですので、使用できるところではきちんと設定しておく。

パスワードマネージャーはChromeやiphoneなどについている自動でPasswordを記憶しておく物ですね。

サービスを使用する機器を決める

メール受信や決済などをネットカフェとか外部では使用せず、必ず自身の端末(PCやモバイル)でのみ行うということも重要です。また、その端末で不用意にアプリやソフトをインストールしないことも重要です。