迷惑メールフォルダーを何気に見ていてふと目にとまったキーワード。
自分が過去どこかで設定したパスワードですから、そりゃもうビックリ!
でも、まてよ・・。という事で文章をよく読んで、ネットでググって、そして安心した、というシェアです。
脅迫メールの中身
私はあなたのパスワードを知っている。メールアドレスをどうやって知ったか?私が誰か?そんなこと知る必要も無い。
私はあなたがポルノサイトをみて楽しんでいるのを知っている。あなたがそのビデオをみているをキーロガーやウェブカムで記録することが出来るし、あなたのコンタクトリストをFB,emailから集めている。次に私はあなたが見ているビデオとウェブカムのビデオを組み合わせて作る。そう、あなたがそのビデオを見て楽しんでいるものをね。あなたには2つの選択肢がある。
1つはこのメールを無視する事だ。そして私はビデオをあなたの知り合いに送るだろう。あなたがどんなに恥ずかしい思いをするか想像すると良い。
2つめは私に$7,000支払う事だ。その結果私はあなたのビデオを消し、あなたは今まで通りの生活を営める。
支払いはBitcoinで行える。支払方法が分からなければGoogleで調べると良い。もしあなたが警察に行く事を考えているなら、それはそれで結構だ。このメールでは私を追跡出来ない。私は単に支払ってもらいたいだけだ。
このメールには特別な仕掛けが組み込まれていて、あなたがこのメールを読んだことを知る事が出来る。もし私がBitCoinを得られなかったら必ずビデオをあなたの知りあいに送るだろう。もし支払ったのであればすぐにそのビデオを消すだろう。もしその証拠を知りたいのであれば、7人の知り合いに送ろう。これは交渉ではないから時間を煩わす事をしないでほしい。
※実際のメールは英語(下のスクリーンキャプチャー)で、訳は適当です。もし間違いがあればご指摘下さい。
実際の私
パスワードは確かに昔使っていたものですね。
なので私も一瞬ドキッとしましたが、このパスワード、今はもう使っていないのですよね。
同じパスワードの使い回しは危険なので、登録しているウェブサイト毎に違うパスワードを設定する様にしているのです。
ポルノサイトについては、全くアクセスした事が無い、とは言えませんが(笑)、少なくとも私のPCにはウェブカムは無い!
つまりこれはウソだと断定できるわけです。
ググってみた
「パスワード流出 脅し」でググってみたらいっぱい出てきましたね。
ここで参考になったのがこれ。
INTERNET Watch 自分が設定したパスワードが書かれた脅迫メールが来た
そして、そこに記載のあった「警視庁サイバーセキュリティ対策本部」。
みなさんこれは便利で勉強になりますのでフォローしておきましょう。
なぜパスワードが漏れたのか?
これは推測でしかないですが、たまに聞く情報漏洩の影響ですね。
メールアドレスは暗号化しないですが、パスワードはほぼ全てのサイトで暗号化(正確にはハッシュ化といって元のパスワードに戻す事の出来ないもの)で記録されています。
この情報が何者かの手で流出し、ハッシュ化されたパスワードからパスワードを推測したのでしょう。これは辞書を使ったパスワード解読という手法で時間をかけて導き出す事が出来ます。
自分の身を守るには
こういう事はニュースでの出来事ではなく、日常茶飯事に行われている、という事をインターネットを少しでも利用されている人であれば知っておくべきでしょう。
自分はよくわからないから、という言い訳は・・しても構いませんが、少なくとも騙されないように意識はしましょう。
そして、具体的に出来る対策ももちろんあります。
パスワードはサービス毎に違うものにする
これが一番効果的だと思います。
もちろん、サービス毎に全く違うものを毎回考えるのは大変ですし、実際のところ無理です。後で忘れてしまいます。
そこでオススメしているのが次の方法。
「サービス特有の文字列」+「自分が共通で覚えているパスワード」
「サービス特有の文字列」は、例えばYahooであれば yahoo、Googleであれば google といったもの。
そのまんまだとバレる可能性があるから、更に
「何か固定の文字列」 + 「サービス特有の文字列」(但し大文字にする) + 「自分が共通で覚えているパスワード」
といった組み合わせだとより良いでしょう。
サービスによっては定期的なパスワード変更を求められる場合があります(今となっては推奨されない方法ですが)。
その場合は、上の組み合わせのうち一部だけ2パターン作っておく、という手もあるでしょう。
2パターンのうちどちらを今設定しているかわからなくとも、2回目は合うわけですから。
また、2段階認証が出来るのであれば、2段階認証の設定は強くおすすめします。
最後に
今回は英語メールで、しかも迷惑メールに入っていた(私の職場では G Suiteを使っていますがが、迷惑メールの選別能力にはかなり助けられています)、という事で意識しなければ気にならなかったのですが。
これが日本語(流暢な日本語)で、金額も円だったら騙される人はもっと多かったのではないかと思います。
この記事をご覧頂いた方は、周りの人にシェアをしていただき、少しでも被害者がいなくなる様にして頂けると嬉しいです。