パスワードの使いまわしでいくつかのサイトから警告を受ける。


先週、グループで使っているGoogleのアカウントがロックされるという事態となり、自分では解除できず、他の管理者にロックを解除してもらうという「事件」がありました。

GoogleからもGsuiteの私以外の他の管理者にも、私が怪しいと警告メールが送られてきてました。

また、日頃使っていないfacebookにいくと、パスワードリセットのリクエストが1週間ほど前にあったとのこと。

リセットのリクエストをした覚えはありませんが、不思議に思い、とりあえず変更しました。

さらに今日、GitHubからメールが届き、

We have determined that you are accessing GitHub with a password that is in a list of passwords commonly used on other websites.

とのこと。
要するに他のサイトでも同じパスワードを使いまわししていると判断したので、パスワードを変えろ、ということですね。

確かに自分はIDとパスワードを使うサイトを100近く持っており、覚えきれないので「パスワード総合管理」というシェアウェアソフト(税別1,000円)を購入して使っています。

これ、秀丸エディタでおなじみのサイト―企画さんのソフトです。

それはともかく、そんなソフトを使っている私もパスワードの使いまわしが無いかというと、実はあったわけで(恥)。

そこで、パスワードの漏洩をチェックするサイト

Have I Been Pwned

それともう1つ
Firefox Monitor

の2か所で、上記の警告があったサイトでIDとして使っているメアドを打ち込んでみると・・・流出してましたね。

最近追加されたデータ侵害のサイトがいくつか出てきますが、一番新しく侵害があったと登録されている「123RF」に私もアカウントを登録していました。

このサイトはWeb制作やグラフィック制作に使用する写真やイラストを購入するためにアカウントを登録していたのですが、残念ながら上記の警告があったサイトと同じパスワードを使いまわししていたサイトです。

このサイトはめったに使わないのですが、稀に制作スタッフから「この写真」と指名があるので仕方なくアカウントを維持していました。

そこで、まずは123rfにログインしようとすると、すでにロックされていて、パスワードの更新を求められました。

123RFからは下記のメールが11月19日に着信していました。

タイトル:セキュリティ強化に伴うパスワード変更のお願い
123RFお客様各位
123RFは、現在セキュリティ強化に伴いパスワード変更のお願いを行っております。
123RFは、2020年11月10日外部からの不正アクセスが発生した可能性があり、社内での更なる調査を行ったところ、一部のお客様のユーザー名、メールアドレス、パスワード(暗号化された状態)などアカウント関連情報が流出した恐れがあることが確認されました。
不正アクセスされた可能性のある情報の中に、クレジットカード、Paypal、Skrill、Idealや銀行口座情報などは一切含まれておりません。123RFではこのような情報を保有しておりませんのでご安心ください。
(以下省略)

アカウント関連情報が流出した可能性があることを、メールのタイトルに書いていないので、気づかなかったです。
ちょっとズルいですね。

さて、同じパスワードを使っていたその他の数サイトを訪問してみても、やはりロックされていて、同様にパスワードの更新を求められました。

なるほど・・・。

セキュリティ的に業界で何らかの連携があるんでしょうかね。

とりあえず、それらのパスワードを変更して回りました。

また、身に覚えのない購入をされたとかはなく、ホッとしています。

しかし、パスワードの流出ってなんなんですかね。

ナマのパスワードでデータベースに保存されているわけではないでしょうし、ハッシュ化された状態で流出しても(犯人が本人に成りすまして)パスワードを入力しようがないように思うのですが・・・。

とりあえず、パスワードの使いまわしはしないようにしましょう。

現場からは以上です。


コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください