Yahoo!メールに英語で変なメールが届いた。
この記事は迷惑メール対策、
迷惑メールによる被害を防止するために書いた記事です。
メールタイトルは
Security Alert. Your accounts was compromised. You need change password!で
本文の書きだしは、
Hi, dear user of yahoo.co.jp
We have installed one RAT software into you device
For this moment your email account is hacked too.
でした。
メール本文の全文を要約すると、
あなたのデバイスにウイルスソフト(RATソフトウェア)をインストールした
メールアカウントもハッキングされている
ソーシャルネットワーク(SNS)の個人情報も握っているぜ
ウイルスソフトで監視しているからパスワードを変えても無駄だぜ
あなたのビデオや写真を同僚や家族や友人にばらまかれたくなかったら
このメールを読んでから48時間以内に
こちらのビットコインウォレットに入金すれば削除してやるぜ
というような内容です。
メールの内容はデタラメ、私はカメラを利用していません
メールに書いてあることは全くのデタラメです、ご安心ください。
メール本文にはビットウォレットの振込先のような英数字の記号が記載されていますが
そこに振り込んではいけません。
つまりこのメールは、お金を騙し取ることを目的とした
振り込まないと情報をばらまくぞという脅迫メールのようです。
メールに対しては無視で大丈夫です、絶対に振り込んではいけません。
私のパソコンには確かにカメラがついていますが、
カメラの穴はシールでふさいでいるし
カメラで自分を撮ったりする機会もなければ、
動画配信などもしていないので動画で自分を撮影する機会もありません。
又、インターネットは使う時だけ有線LANケーブルでインターネットに繋ぎ、
使わない時は線を抜いているので物理的にハッキングは無理だと思います。
クラウドなどの同期はパソコンはもちろん、スマホですらしていません、
クラウド自体は使ってみれば便利なサービスなのかもしれないけど何かあったら怖いから
それが大手のサービスであっても、デバイスの情報をネット上のクラウドに保存というようなことは、一切しないようにしています。だから私の端末をハッキングするのは無理だと思います、ネット上にデータを残すサービスを利用していないし、私のパソコンは使わない時はネットに繋がっていないので。
自分が使用している本物のパスワードが記載されたメールが届くことがあるらしい
大手のサイトしか使用していないつもりでも
インターネット上のサービスを使っていると、
迷惑メールが届くようになることは日常茶飯事なので
いつもならこのくらいのメールはただ削除して何も気にしないんだけど。
今回、ちょっと気になった点は
本当に自分が使っていた本物のパスワードが届くことがあるようなのです。
今後、もし何か続編の迷惑メールが届いたらこの記事に追記します。
※2019年10月10日追記 後に私の使っている本物のパスワードが書いてある迷惑メールが届いたので、この記事に追記しました。
迷惑メールについてインターネットで検索してみると
誰でも知っているような大手から個人情報が漏れたものではないかという
2社が挙げられていますが
私はその2社のどちらにも会員登録をしていません。
私の場合は、その2社から漏れたのではなく
ここから漏れたのではないかという情報がインターネット検索をしても、現時点では(2019/10/10)まだ出ていないサイトからパスワードが流出していました。
そのサイトから流出したのか、私側から流出したのかはわかりません。
私は色んなサイトに会員登録はしているけど
ユーザー登録をする際に、サイト1つ1つごとに全て
違うパスワードにしているので、もしも
私にも、私の本物のパスワードが記載されたメールが届いたら
どこから漏れたのかわかるのではないだろうか、と思います。
※後にパスワードが記載された迷惑メールが届き、どのサイトのパスワードが漏れていたのかわかりました。
このメールが届いたメールアドレスは
買い物やキャンペーンなどに使用しているアドレスでした。
インターネットを利用しているといつ個人情報が流出してもおかしくないと思ったほうがいい
いつも思うんだけど、
どんなに入り組んだ、そう簡単にはバレないパスワードを考えたとしても
サイト自体がハッキングなどに遭い、個人情報が漏れてしまったら
こちらがいくら対策したって意味がないと思うんですよね。
私は通販や大手サイトのキャンペーン、ジャンルは生活用品などの利用で
決して怪しいジャンルを利用しているわけではありません。
子供が見ても問題ないような、ごく普通のジャンルのサービスしか利用していないと思います。
それでも、今回の件の脅迫メールが来たアドレスには、このメール以外にも
大量に迷惑メールが届いていて、
以前から、私のメールアドレスがどこかから漏れていることは
感じていました。
たくさんのサイトに登録して利用していると、
どこかからは漏れてしまっていると感じています。
ただ、それを気にしていてはインターネットを利用出来ないので
対策としてはサイトごとにパスワードは違うものにして
万一、どこかからログイン情報が流出しても
1つのサイトの被害だけで済むようにするくらいしかないと思います。
買い物の際、クレジットカード情報の保存もしないほうが安全だと思います。
私は使う時だけカード番号を入力して、カード情報を保存するにチェックをしないようにしています。自動的にカード情報が記録され、保存しないように出来ないサイトでは買い物をしません。
パスワードを変更して古いパスワードは使用しないものとなったとしても、
流出が起きた時にどこから流出したのか把握するために、前のパスワードも
保存していたほうが良いと思いました。
私の漏れてしまったパスワードも、何年も前に短期間だけ登録して利用しないからすぐ退会したサイトのパスワードでした。退会したサイトも含めてパスワードは全て記録しているので、どのサイトのパスワードが流出しているのかわかりました。
後に私の本物のパスワードが書かれたメールが届いた
※2019年9月26日追記です。
最初のメールが届いてから2週間ほど経った頃、続編のメールが届き
そこには私の本当のパスワードが書かれていました。
迷惑メールの本文に、あるサイトの会員登録に使っていた、私の本物のメールアドレスとパスワードが書かれていました。
私はパスワードの使いまわしを一切していないので、今回、どのパスワードが流出したのかわかったことにより、どのサイトから私の情報が漏れたのかもわかりました。
私は全てをサイト別のパスワードにし、同じパスワードを複数サイトに使用することはしていません。そして今まで使ったことのあるパスワードは退会したサイトであっても全て保存しています。
よって、流出したパスワードを知ったことにより、どのサイトから漏れたのかわかりました。
5年以上も前に退会しているサイトでした。
退会しているのに、今回のような迷惑メールが届きました。
こちらは退会手続きをしても、サイト側は個人情報を削除していないのかもしれません、私はそのように感じました。
退会した人の個人情報を1年や2年保存した後に削除するといったやり方であれば理解できるのですが、ユーザーが預けた個人情報を守り切れないのに5年以上も退会した人の個人情報を保管しているのであれば私は疑問を感じます。
そのサイトは大手のサイトです。利用している人は利用しているというジャンルで、誰でも利用するサイトではないと思いますが名前は誰でも聞いたことがあるくらい知名度があるサイトだと思います。
私がそのサイトに登録していた期間はほんの数カ月だと思います。どういうものか見てみたくて会員登録をしたのですが、私には合わないと思い、すぐに退会しました。
決して怪しいサイトではなく、サイト自体はクリーンな普通のサイトだと思います。
退会しているアカウントだからどうにも出来ない
私は退会手続きがされていないのかな?と思ったので
退会したアカウントではありますが、当時のメールアドレスとパスワードでログインを試してみました。私は、退会したサイトであっても全てのログインIDとパスワードをメモして記録しているのでパスワードが間違っているということはないと思います。
退会しているので当時のログイン情報ではログイン出来ませんでした。
そこで、パスワードを忘れた方はこちらというリンクから
メールアドレスを入力し、パスワード変更の手続き方法が自分のメールアドレスに届くという方法も試してみました。
しかし、このメールアドレスは当サイトに登録されていません、というような表示でした。
退会手続きはされているのかもしれません。
もしログイン出来たら、パスワードを変えることで、100%安全とは言えませんがとりあえずの安心を得られたかもしれませんが、もう退会したサイトで私からは何も操作出来ないので、何も出来ることはなく、どうしようもありません。
2回目に届いた英文の迷惑メールの内容
2回目に届いた続編の英文の迷惑メールのタイトルは
Security Notice. Someone have access to your system.
です。
本文の書きだしは、
I am a hacker who has access to your operating system.
This means that I have full access to your account: At the time of hacking your account(私の本物のメールアドレス)
had this password:(私の本物のパスワード)
でした。
Yahoo!のメールアドレスを利用して登録していたあるサイトの
ログイン情報が流出したようです。
Yahoo!のアカウント自体は何も流出していません。
内容としては、要約すると
あなたのアカウントや個人情報など全てにアクセスできるぜ
あなたが、やましいサイトを見た時にウイルスに感染したんだぜ
あなたの情報を、あなたの知り合いにばらまかれたくなかったら
こちらのビットコインアドレスに○○ドルを入金しな
というような、1回目の迷惑メールと同じような内容でした。
1回目のメールにプラスして、2回目のメールには
私の本物のメールアドレスとパスワードが書いてある感じです。
私のパソコン内にハッキングしたのではなく、
1つのサイトからパスワードが流出したものを、こちらにチラつかせて
こちらはあなたのデバイスを監視できると虚言を吐いているように思いました。
もちろん絶対に振り込んではいけません。
1回目の迷惑メールは適当なニックネームのようなものが差出人になっていたけど
2回目は差出人が私のYahoo!メールアドレスになっていて、Yahoo!より「このメールはなりすましメールの可能性があります。」と警告が表示されていました。
迷惑メール送信者は、私のYahoo!アカウントが乗っ取られたかのように装いたかったのだと思いますが、これは、差出人に私のメールアドレスが表示されるように偽装しただけで、実際は私のメールアドレスから送信されたものではありません。私のYahoo!アカウントも乗っ取られていません。
パスワードが漏れたサイトは、うちからは流出していないとの回答
パスワードが漏れたサイトに
パスワードが流出している旨を伝えたのですが
うちから流出はしていないというような回答でした、そして
こちらのパソコンがウイルスなどに感染して漏れている可能性を言われました。
うちからは流出していない、と言われてしまうと
こちらも、これ以上はどうしようもなく
確かに、私も100%安全にパソコンを管理出来ているとは断言出来ないので
100%サイト側から流出したとも断言は出来ません。
しかし、もしも私のパソコン自体をハッキングしたのなら
もっと重要なアカウントを盗むと思うんですよね。
メールサービスとか銀行とか買い物とか。
私はピンポイントで、知名度はあるけど誰でも利用しているわけではないジャンルのサイトのパスワードを迷惑メール送信業者が送ってきたことから、
やはりそのサイトから漏れているのではないかと思っています、それはあくまで推測です。
しかし、そのサイト自体が不正アクセスに遭う以外にも
私側から漏れている可能性はあると思うし
メールアドレスだけどこかで入手してパスワードを総当たりしたという可能性もあります。
だから、そのサイトから漏れたとは断言は出来ません。
流出したのは5年以上も前に退会したサイト、そうなると
5年も経てば古いパスワードは破棄している人も多いと思います。
だから、そのサイトから流出した人の情報がインターネット検索をしても出てこないのかもしれないし、もしかしたら私側から漏れて、そのサイトから漏れたのは私だけという可能性もあります。
あなたの撮影したビデオをばら撒くぞみたいな内容については相手にしていないからどうでもいいのですが、本物のパスワードが漏れている件については
何が原因でパスワードが漏れているのか知りたいです。
サイトには公式HPのブックマークからしかログインしないし、パソコンは使う時しかネットに繋いでいない、端末をクラウドと同期のようなこともしていない、インターネットの閲覧は毎日していますが特別変なサイトは見ていないと思います。
たったの一日二日で何年も前に退会しているアカウントについて「うちのサイトからは流出していない」と断言出来るほど、そんなに早く調査を完了出来るものなのでしょうか。
本心を言えば、私のパソコンがウイルスなどに感染して漏れている可能性というのは腑に落ちないのですよね。
サイト側は、うちからは流出していない、機会ありましたらまたのご利用を、と話を終わらせている雰囲気なので、こちらもこれ以上どうこう言うわけにもいかず、漏れたパスワードについては諦めて終わりにするしかないのかなと思っています。
私が漏れたサイトではなく、過去に個人情報流出が起きた他のサイトから漏れた場合も、同じ手口の迷惑メールが届いているようです。そちらのサイトは個人情報流出が起きたことを認めていて、ユーザーにお知らせもしているんですよね。
だからなおさら納得がいかないのです。
しかし揉めたくないので、
今回の件をこうしてブログに書いて、インターネット上で情報化することで終わりにします。
私側から私のパスワードが漏れた可能性も0%とは断言出来ないしね…。
これ以上どうこう言っても揉めるだけだと思うから。
コメント