パスワード流出問題

パスワードの流出事件はよくあることでして、パスワードの流出のニュースはよく見受けられます。。

別に目新しいものじゃないですね、ネットという土地に根強く残っている風土病みたいなものですし。

パスワードの流出のニュースは度々あります↓
http://www.sankei.com/smp/affairs/news/150417/afr1504170035-s.html
逮捕した業者のサーバーを調べたら、LINE、Amazon、楽天でも使われているであろうパスワードなどが500万人分も入っており、そのうちの6万人がログイン接続に成功していたらしいということです。

今回は、そのうちの１人が僕だったよという話です。

突如きたAmazonからのメール

ヤクルトスワローズが5時間にもわたる延長戦を制し、その後、課題を徹夜で行っていたころ、Amazonからメールが届きます。

件名：Amazon.co.jpでのご注文(###-######-#######)

あー、Amazonからメールか。なんだよ。なんだよ。。。。

なんだとぉーー！！！！！

Grand Theft Auto Online: Bull Shark Cash Card (GTAマネー $500,000) 【Windows版】というものが勝手に購入されているではありませんか。笑

ゲーム内マネーは、50万ドルですが、リアルマネーで999円分になります。
かわいいもんだなwww

と、考える暇もなく次のメールが届きます。

PlayStation Plus 1ヶ月利用権(自動更新あり) [オンラインコード]
514円

え...？

パスワード流出してる。
ログインされて、購入されてる。。。
ようやくここで事の重大さに気づきます。

これはやばい。ということで、即座にAmazonのサイトへ。

パスワードの変更をしなきゃ！と思うも
手が震える。マジで手が震えました。
その間にまた商品が買われる。

心臓バクバクしながら、犯人と同時進行で早さを競うというのはとても新鮮でした。僕がパスワードを変更し、ログアウトなどをしている間に、合計5つの商品を買われました。。。

とは言っても全部で2500円ぐらいでしたので、不幸中の幸いでしょうか...

ちなみに、パスワードを変更する前に、僕は何をしたかというと、

Amazonで勝手に買われてたーーー！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！うああああああああああああああああああああ！！！！！パスワード流出してるうううううううううううううううううううううう

— noon@LINEスタンプ (@idnoon8) 2015, 4月 19

Twitterで近況報告していました。
これにより冷静さを取り戻し、
パスワードの変更をするに至りました。

Amazonから再びメールが届く

事なきを得たと思ったら、またAmazonよりメールが来ました。

[重要] Amazon.co.jp よりお客様のアカウントについてのお知らせ

Amazonからまたメールが....いやだ....
と思いながらも恐る恐る開封します。

内容の一部です↓

このたび、ご利用者様保護の一環としてお客様のアカウントを確認いたしましたところ、保有者であるお客様の許可を得ていない第三者が、お客様に無断でお客様のアカウントへアクセスし、注文を行った可能性のあることがわかりました。

不正に行われた注文につきましては、担当部署により注文代金全額を返金処理いたします。

なお、お客様のアカウントにつきましては、お客様以外の第三者による不正アクセスを防ぎ、お客様の情報と安全をお守りする目的から、当サイトにてパスワードを一時変更させていただきました。今後、当サイトをご利用いただくためには、パスワードの再設定をしていただく必要がございます。
(略)

全文を要約すると

• 僕のアカウントが他人に使われてたよ！
• 勝手に注文されたのは全額返金します！
• 他人にログインさせないためにも、一時アカウントを停止中
• パスワードの変更をお願いします！
• Amazonからのパスワードの流出ではないと思うよ！
• クレジットカードの情報までは流出してないよ！
• でも他のサイトでカード情報は漏洩してるかも...

みたいな内容でした。
とりあえずAmazonさんグッジョブです。

クレジットカードは流出してないのに不正利用された理由

Amazonでは通常、クレジットカードの情報を登録しておけば、毎回番号を記入しなくても商品を購入することができます。だからといって第三者に、そのクレジットカードの番号が漏洩されることはありません。下4桁しかわからないシステムになっています。

今回の場合、犯人は僕のクレジットカード情報は使わずに「ギフト券」を使いやがりました。僕のアカウントには、ギフト券のお金がそこそこあるので、それを使ったわけです。ギフト券ならクレジットカードの情報も入力しなくても良いですしね。笑

ということで、クレジットカードは流出していなくても、Webマネーをアカウントに残していれば、今回のような被害を受ける可能性がある。ということが分かりました。

反省すべき点

パスワード流出問題は敏感になれ！

今回の流出悪用事件を受けて反省することが多々ありました。

自分の使っているサービスで情報が流出したらパスワードを変える！

これは基本ですよね。

流出した可能性が少しでもあるならば、パスワードを変える！ということです。

NAVERのパスワードが流出した際は、さすがにパスワードを変更しましたが、最近は特にパスワードを変えることなく、のらりくらりと過ごしていたわけです。

「自分のパスワードが流出してるわけないよ。関係ない、関係ない。」

そして、自分が当事者になれば
「まさか！自分のパスワードが流出してるなんて」
被害者面をし始めるのです。

確かに僕は被害者になりかけましたが、これは災害とは違って、事前に十分に防ぐことができました。やるべきことをやらなかった僕にも、責任が多分にあるわけですよ。今後から気をつけます。

パスワードは同じものを利用しない

違うサービスのパスワードを同じものにしない。

これは鉄則ですが、パスワードを覚えるのも面倒なので、ついつい同じものを使いまわしますよね。。。僕はほぼ同じパスワードを使いまわしていました。

それが今回の事件につながったわけです。

Amazonからの直接の流出じゃなくても、

他サービスのアカウントが漏洩
→Amazonのログインを試される。
→成功

というスキームがありえます。
今回はそのパターンだったと思います。

他にも定期的にパスワードを変える。などなど、当たり前にすべきことはたくさんありますね。改めてその重要さに気づきました。

まとめ

今回の事件を受けて、他のサービスのパスワードも変更しました。
Google、楽天、LINE、Facebook、各ASP、はてなブログなどなど...面倒な作業でしたが仕方ありませんね。

今回勝手に注文された内容を見てみると、Amazon.comで販売されていた商品をAmazon.co.jpを通じて購入したみたいです。
犯人は日本人かもしれませんが、外国人である可能性が十分に高いと感じました。

とりあえずAmazonに、今回の件は最近の漏洩事件と関わりがあるのかなどを尋ねているところです。
この記事の中には仮説で話している部分もありますので、全貌が明らかになり次第、追記していきます。(最後に追記しました。)

もし、同じパスワードを使い回されている方は、Amazonなどのパスワードを絶対に変更しておきましょう。
他のサービスとパスワードが被らないようにも注意しましょう。

今回は、Amazonさんの素晴らしい対応に僕も救われたわけですが、みなさんも気をつけてくださいね！
使いまわした僕が完全に悪く、Amazonからは流出はしていませんので、勘違いをしないように。

では！

追記

Amazonから回答がありました。
セキュリティ上の問題で、漏洩に関することは答えられないとのこと。
まあ当たり前ですよね。

Amazonは全く悪くありません。

それと、勘違いして欲しくないのは、Amazonから流出していたわけじゃありません！

他のサイトで使っていたアカウントが漏洩して、Amazonでログインを試されて成功されたというパターンだと思われます。

これも確かなことではないですが、Amazonからの流出ではないと見ています。

なので、パスワードを使いまわしている人への警告の記事だと思ってください。