HotmailやYahoo!、Gmailなど、無料のWebメールサービスでアカウント情報が大量に流出しました。
今回の情報流出は各社のセキュリティの問題ではなく、「フィッシング詐欺」によるものと説明、ユーザにはパスワードなどを変更することを勧めています。
フィッシング詐欺とは、メールやサイトから偽のサイトに誘導し、そこでユーザIDやパスワード、クレジットカード番号などを盗み取る犯罪です。
フィッシング詐欺を防ぐには、
- PCのセキュリティ対策
- 怪しい添付ファイルは開かない
- 不審なURLはクリックしない
銀行やオンラインショッピングなど、いつも使っているサイトでも何かおかしいなと感じたら、URLを再確認するなど、自分のデータを入力する前に注意を払うことが必要です。
そして、もし「ひっかかったかな?」と思ったら、パスワードを変更する、またはアカウントを削除するのも有効です。
各社はパスワードの変更を強く勧めていますが、ここでパスワードについて考えてみましょう。みなさんはどのようなパスワードを設定していますか?
今回流出した情報のパスワードをWebセキュリティ企業のAcunetixが解析した結果、アルファベット小文字のみ、数字のみのパスワードを使用していた人が50%を超えていたようです。
参考:大半のユーザーが安易なパスワードを利用、流出情報を分析(ITmedia News)
アルファベットの小文字は全部で26文字、数字は10個です。
例えばパスワードの文字数が8文字だったとしても、全ての組み合わせの文字列、数字の並びを試すこと(これをパスワード解析の方法で"総当り攻撃(ブルーフォースアタック)"といいます)は、コンピュータにやらせれば何の苦労もないことなのです。
ですから、特に重要なIDのパスワードには、
- パスワードを長くする
- 大文字小文字数字を混ぜる
- 記号を含める
また、いろいろなサイトで同じパスワードを使わないことも重要です。
そして、せっかく用意した複雑なパスワードも、パソコンに覚えさせてしまっては意味がありません。
"ブラウザで保存"はしないで下さいね。
今日、PayPalをかたったメールが届きました。
多分フィッシング詐欺のメールです。
HTMLメールで、上部にPayPalのロゴが入っていました。
一瞬本物かと思ってしまいましたが、送信元アドレスが、paypal@8003277799.com となっていたので、本物がこんなドメインの訳ないな、と気づきました。
「2009年10月7日、あなたのアカウントに第三者によりアクセスがあった。セキュリティ保護のため機能を制限している。」というような説明(英文)があり、「制限を解除するにはこちらをクリック」というリンクが付いています。
きっとこのリンクをクリックすると、偽サイトが開いてパスワード入力を求められたりするんでしょうね。
今回のアカウント流出ニュースに便乗して、こういう文面のメールが発信されたのだと思います。
みなさんもご注意ください!