Reutersによると、GoogleやMicrosoftや米Yahooのメールサービスを使う人のアカウント情報が何らかの方法で盗まれて、ロシアの闇市場で取引されているそうです。
Googleのものが2,400万件、Microsoftのものが3,300万件、米Yahooのものが4,000万件もれているとのこと。
日本で米Yahooを使っている人は少ないと思いますが、GoogleとMicrosoftはやばい。
すぐに怪しいアクセスがないか確認して、ついでにセキュリティを強化しましょう。
Reutersの記事
問題のReutersの記事はこちらです。
Reuters 「Exclusive: Big data breaches found at major email services – expert」
http://www.reuters.com/article/us-cyber-passwords-idUSKCN0XV1I6
記事はHold Security社のセキュリティ専門家Alex Holdenさんの話として、ロシアの闇市場でEメールサービスやその他のウェブサービスのユーザー名とパスワードが取引されていると伝えています。
最も多く漏れているのがロシアの大手メールサービスMail.ruで約5,700万件。
Holdenさんによると、Gmailではユーザーの9%にあたる2,400万件、Microsoftでは同じく12%にあたる3,300万件が漏えいしているそうです。
まじか。
自分のアカウントが無事かどうか確認してみる
私もGoogleとMicrosoftのアカウントを持っていて、かなり大切な秘密の情報をいろいろ蓄えているので、自分のアカウントが無事かどうかを確認してみます。
皆様もご一緒にどうぞ。
Googleアカウントの場合
まず、アカウントへのアクセス履歴を確認するために、こちらのページを開きます。
Google 「最近使用した端末」
https://security.google.com/settings/security/activity
直近28日間に自分のアカウントにアクセスした端末の名前、アクセスした場所、アクセスの日時を確認できます。
※ アカウントへのログインを求められた場合は指示に従ってログインしてください。
私の場合はこうなりました。
私はAndroid端末を持っていないのですが、下の方に「Samsung Galaxy S5」というのが表示されています。あやしい。
確認したところ、日時と場所の情報から、これは私がWindows上で動かしたBlueStacksというAndroidエミュレーターからのアクセス履歴らしいとわかりました。
ということで、Googleアカウントはセーフです。
でも、これだけでは自分のアカウント情報が洩れていないとは言い切れない(漏れているけどまだ使われていないだけかもしれない)ので、この機会に2段階認証の設定をしておきましょう。
手順は次のとおりです。
Googleアカウントのアカウント情報の画面で「ログインとセキュリティ」を開きます。
「2段階認証プロセス」が「オフ」になっているので、ここを選択します。
「開始」
パスワードの再入力を求められるので入力して「ログイン」します。
スマートフォンの電話番号を入力し、コードの取得方法を選択して、「試す」で進みます。
Googleの2段階認証は、Googleアカウントにログインしようとすると所定の電話番号にテキストメッセージまたは音声通話で認証コードが送られてきて、それを画面で入力しないとログインできないという仕組みです。
ここでは認証コードをテキストメッセージで受け取ることにします。
「試す」すると、指定した電話番号にテキストメッセージで認証コードが送られてくるので、コードを入力して「次へ」で進みます。
最後に「オンにする」を選択すれば2段階認証の設定は完了です。
Microsoftアカウントの場合
つづいてMicrosoftアカウントも確認します。
アカウントへのアクセス履歴を確認するため、こちらのページを開きます。
Microsoftアカウント 「いつどこでアカウントを使ったかご確認ください」
https://account.live.com/Activity
直近1か月に自分のアカウントにアクセスした端末等の名前、IPアドレス、アクセスした場所、アクセスの日時を確認できます。
※ アカウントへのサインインを求められた場合は指示に従ってサインインしてください。
私の場合はこうなりました。
図は詳細表示を閉じた状態ですが、サインインが成功したケースで怪しいアクセスはありませんでした。
しかし、パスワードを間違ってサインインに失敗したケースが3つあります。(図の赤で囲んだところ)
日本からのアクセスは自分でパスワードをミスタイプした覚えがあるので、おそらく自分のアクセスです。
しかし、中国からのアクセス。これはあかん。
サインインに失敗しているので今回の漏えい騒ぎとは無関係と思われますが、こういうこともあるのですね。こわいこわい。
Microsoftアカウントも2段階認証の設定をします。
Microsoftアカウントのトップページで「セキュリティとプライバシー」をクリック。
「その他のセキュリティ設定」を選びます。
つづいて「2段階認証のセットアップ」を選びます。
「次へ」
スマートフォンを使っている場合は「認証の手段」として「アプリ」を選び、手持ちのデバイスを選んで「次へ」。
これは、Microsoftアカウントにサインインしようとすると、指定したデバイスのアプリに認証コードが表示され、そのコードを画面で入力しないとサインインできないという仕組みです。
認証アプリはなぜかGoogleが提供しています。
iOS版はAppStoreで「Google 認証アプリ」で検索すると出てきます。
アプリのメニューで「バーコードをスキャン」を選ぶと。
カメラが起動するので、画面の2次元バーコードをスキャンすると、アプリにアカウントが追加されます。
すぐに追加されたアカウントの認証コードが表示されるので。
このコードを画面に入力して「次へ」で進みます。
すると2段階認証がオンになります。
画面に表示されたコードはスマホが壊れたりして認証アプリにアクセスできなくなった場合に必要なので、どこかにメモしておきましょう。そして「次へ」。
Windows Phone 8以前を使っている場合は画面の指示に従って設定を更新します。
Xbox 360、Outlookのデスクトップアプリ、Office 2010以前 または Mac用Office 2011以前、Windows Essentialsの各アプリ、Zuneデスクトップアプリを使っている場合は、「設定方法を確かめてください」のリンクを確認して設定します。
以上でMicrosoftアカウントの2段階認証の設定は完了です。
まとめ
メールの中身から利用している他のサービスの情報が洩れ、それらのサービスでGoogleアカウントやMicrosoftアカウントと同じパスワードを使っているとさらに情報が洩れ、芋づる式に丸裸にされてしまう危険がありますので、少なくとも怪しいアクセスの有無くらいは確認しておいたほうがいいです。
そして、パスワードを使いまわしている場合はすぐにやめ、それぞれのアカウントに適切な長さと複雑さを持つパスワードを割り当て直しましょう。
複雑なパスワードは覚えきれませんので、たとえばWindowsならInternet ExplorerやEdgeのパスワード保存機能を使うとか、MacならiCloudキーチェーンを使うとかして、個々のサービスのパスワードはコンピューターに覚えさせましょう。
私はWindows、Mac、iOSのすべてでパスワードを共有したいので「1Password」というけっこう高いアプリを使っていますが、Windowsだけでいいのならもっと安いこういうものもあります。
また、とくに重要なアカウントには今回紹介した2段階認証の設定をしましょう。
以上、GoogleアカウントやMicrosoftアカウントのユーザー名とパスワードが大量に流出したらしいという記事についてでした。
