自分のメールアドレスが乗っ取られた経験(メールセキュリティ)
トピック: バラクーダ
2020年2月5日、Tushar Richabadas
私は、2015年のアシュレイ・マディソンの情報漏洩の被害レポートを読んで、自分のメールアドレスが乗っ取られた経験について書くことにしました。(ちなみに、私はアシュレイ・マディソンの情報漏洩の被害を受けていません。)
乗っ取られたメールアドレスは私の最初のメールアドレスです。このメールアドレスは、1998年または1999年に作成したと思います。作成した場所は、私の地元インドのチェンナイ市内に新しく開店したインターネットカフェでした。その時、私は高校2年生でした。
この古い Yahoo!メールアドレスは多くの IRC(インターネットリレーチャット)/ Yahoo!チャット詐欺に悪用されてきました。初めてデジタル写真を受信した時も、最初の仕事に応募した時も、このメールアドレスを利用していました。長年にわたって、メールアドレスが必要な場合、私はこのメールアドレスを伝えてきました。
このメールアドレスは、非常に古く、共有されてきたため、様々な悪事に利用されてきました。HIBP(Have I Been Pwned?)(自身のメールアドレスが盗まれていないか、オンライン上に出回っているメール・パスワード情報のリストに含まれていないかを確認することができるサイト。)のいらだたしいほど長いリストには、Disqus、Tumblr、Trillian、ジンガなどがほぼ正しく記載されていました。バラクーダは、Barracuda Web Application Firewallのクレデンシャルスタッフィング検出データベース向けに、このような多くのリストを取得できます。私は自分の古いパスワードが非常に複雑で独自だったことに非常に安心しています。
2019年2月ごろから、このメールアドレスは下記の3つの興味深いサインアップに悪用されています。
1つ目は、Instagramへの早朝のサインアップです。(最も興味深いケース)
(このInstagramアカウントからの最初のメールには、アカウントが作成されたことが記載されていましたが、このサインアップは、私が行ったわけではありません。私は、自分がサインアップを行ったというメールを見つけることはできなかったため、このメールアドレスのパスワードをすぐに変更しました。)
私は、起きるとすぐに、このサインアップに気づいたため、この Instagramアカウントのパスワードをリセットして、この Instagramアカウントにログインしようとしました。この Instagramアカウントは、私がログインできたため、フォローも投稿もされませんでした。私は、この Instagramアカウントを所有したいと考えたため、パスワードをセキュアなものに変更しました。にもかかわらず、誰かが、同じ日に、この Instagramアカウントに1回ログインしようとし、その後の数か月間も、さらに数回ログインしようとしました。私は2つの望ましいInstagramアカウントを所有することになったため、このサインアップは興味深いものでした。
(私のもう1つの Instagramアカウントは、同名の人が乗っ取ろうとしています。その人は、パスワードをリセットして、数週間ごとに、このもう1つのInstagramアカウントにログインしようとしています。その人の友達が私をタグ付けしている写真とコメントから判断すると、おそらくティーンエージャーによる犯行です。)
2つ目は、より単純なアカウント作成です。
このサインアップが行われた際、私は、起きていて、明らかに、ニュースレターにサインアップしていませんでした。残念ながら、このアカウントを閉鎖することはできていません。
3つ目は、2日前に起こった出来事です。
誰かが、私のメールアドレスを悪用して、オンラインカジノの Royal Pandaにサインアップしました。
最初のサインアップ以外は、あまり興味深いものではなく、スパムへの悪用にすぎません。しかし、乗っ取られたメールアドレスが悪用された期間を確認することは興味深いです。幸いにも、このメールアドレスは主要なサイトには悪用されていません。とはいえ、おそらく、ATO(アカウント乗っ取り)を実行できるかどうかについて、Disney+などの主要なサイトでテストされています。主要なサイトには、明らかに侵害されているもの、および侵害されている可能性が高いものが多い一方、侵害の詳細は判明していないことを考慮すると、HIBPなどのサービスでメールアドレスにアラートを設定することは優れた対策です。パスワードを強力なものに変更し、優れたパスワードマネージャでパスワードを保護および管理することは、長期間、デジタル生活のセキュリティを確保するために役立ちます。
製品のご紹介:Barracuda Web Application Firewall, Barracuda Sentinel, Barracuda Essentials
原文はこちら:
Adventures of my pwned email address
February 5, 2020 Tushar Richabadas
https://blog.barracuda.com/2020/02/05/adventures-of-my-pwned-email-address/