Amazonから「パスワードを一時変更させて頂きました」メールが来たら...どうすればいいの?
Amazonから「パスワードを一時変更させて頂きました」というお知らせが来た。
最近、こうしたメールが届いたという話は巷で聞いていたが、とうとう自分にも来ましたか!
ということで、一体どういうことなのか調べてみた。
◎Amazon側のパスワード変更は定期モニターの結果
パスワード云々のメールが来るとパニックになってしまいがちだ。
しかし、よく文面を読むと、今回の件は、
・アカウントがハックされ悪用されたからとか
・パスワードが漏れたとか
そういうことではないらしい。
どうやら、Amazonは、ユーザーのアカウント保護、プライバシー保護への取り組みの1つとして、定期モニターというものを行っているらしい。
文面には、こう書いてある。
----
このたび行った定期モニターの結果、Eメールアドレス、パスワードの一覧をインターネット上で無作為に掲載しているページが見つかりました。発見された内容はAmazon.co.jpとは一切関連がございませんが、同じパスワードを複数のサイトにてご利用されているお客様も多くいらっしゃり、当サイトでもしも同じパスワードを使用されている可能性がある場合には念のためお知らせすべきであると判断したため、ご連絡させていただきます。
----
つまり、これって
・メールアドレス、パスワードの組み合わせを無作為に公開されているサイトがある
・筆者のメールアドレスもその一覧で確認された
・Amazonでも同じパスワード使っていたら問題だから、今回の措置となった
ということで、
どこかのサービスで自分のアカウント情報が漏れているということらしい。
おいおい、それなら、先に、そのサイトを教えてくれよと思いつつも、とりあえずAmazonのパスワードを急遽変更し、メールアドレスの流出を検索できるサイトに行ってみた。
◎世の中にはメールアドレスの流出を検索できるサイトもあるが...
筆者が試したところ、
---------
Adobe: In October 2013, 153 million Adobe accounts were breached with each containing an internal ID, username, email, encrypted password and a password hint in plain text. The password cryptography was poorly done and many were quickly resolved back to plain text. The unencrypted hints also disclosed much about the passwords adding further to the risk that hundreds of millions of Adobe customers already faced.
Compromised data: Email addresses, Password hints, Passwords, Usernames
---------
---------
LinkedIn: In May 2016, LinkedIn had 164 million email addresses and passwords exposed. Originally hacked in 2012, the data remained out of sight until being offered for sale on a dark market site 4 years later. The passwords in the breach were stored as SHA1 hashes without salt, the vast majority of which were quickly cracked in the days following the release of the data.
Compromised data: Email addresses, Passwords
---------
の2件がヒットした。
だが、2社とも本サービスからパスワードを変えるよう連絡は来ていない。
Adobeはなんと2013年に起こった不正アクセス事件。この不正アクセスに関するAdobeのブログにはFAQもあり、
---------
当社は、攻撃者により盗まれたデータベースに含まれていた現在の資格情報 (暗号化された有効なパスワードに紐付けされた Adobe ID アカウント) を持つすべてのユーザーのパスワードをリセットしました。このことについては、次の 2 つの方法でユーザーに通知しております
---------
とのこと。
つまり、連絡が来ていないということはAdobe側では筆者のアカウント情報は漏洩していないということになる。
なお、同じAdobeのブログにはスパムやフィッシングに利用するために、メールアドレスを集める目的で「メールアドレスの流出をチェックする」と謳うサイトもあるので決して利用しないようにという記述もある。
◎利用している全てのサービスのパスワードを変えていくのが安全
こうなると何が真実かわからないが、Amazonからこうしたメールを受け取ったら、
・Amazonのパスワードは変える
・同じメールアドレスをログインに使用しているサービスのパスワードも変える
これを実行しておくことだ。
筆者はやってしまったが、
・「メールアドレスの流出を検索する」と謳うサイトを使ってみる
というのは決してオススメできない。
メールアドレスだけだとしても、フィッシングの対象リストに入ってしまえば、それだけ危険にさらす機会が増えることになるのだから。
さらに、この際は、意を決して、使い回していたパスワードも一掃しておこう。
パスワード管理ソフトなどもあるが、覚えやすいパスワードでなくともいいと割り切り、とにかく複雑な文字列で強いパスワードを作りメモしておくことがオススメだ。
大内孝子
最近、こうしたメールが届いたという話は巷で聞いていたが、とうとう自分にも来ましたか!
ということで、一体どういうことなのか調べてみた。
◎Amazon側のパスワード変更は定期モニターの結果
パスワード云々のメールが来るとパニックになってしまいがちだ。
しかし、よく文面を読むと、今回の件は、
・アカウントがハックされ悪用されたからとか
・パスワードが漏れたとか
そういうことではないらしい。
どうやら、Amazonは、ユーザーのアカウント保護、プライバシー保護への取り組みの1つとして、定期モニターというものを行っているらしい。
文面には、こう書いてある。
----
このたび行った定期モニターの結果、Eメールアドレス、パスワードの一覧をインターネット上で無作為に掲載しているページが見つかりました。発見された内容はAmazon.co.jpとは一切関連がございませんが、同じパスワードを複数のサイトにてご利用されているお客様も多くいらっしゃり、当サイトでもしも同じパスワードを使用されている可能性がある場合には念のためお知らせすべきであると判断したため、ご連絡させていただきます。
----
つまり、これって
・メールアドレス、パスワードの組み合わせを無作為に公開されているサイトがある
・筆者のメールアドレスもその一覧で確認された
・Amazonでも同じパスワード使っていたら問題だから、今回の措置となった
ということで、
どこかのサービスで自分のアカウント情報が漏れているということらしい。
おいおい、それなら、先に、そのサイトを教えてくれよと思いつつも、とりあえずAmazonのパスワードを急遽変更し、メールアドレスの流出を検索できるサイトに行ってみた。
◎世の中にはメールアドレスの流出を検索できるサイトもあるが...
筆者が試したところ、
---------
Adobe: In October 2013, 153 million Adobe accounts were breached with each containing an internal ID, username, email, encrypted password and a password hint in plain text. The password cryptography was poorly done and many were quickly resolved back to plain text. The unencrypted hints also disclosed much about the passwords adding further to the risk that hundreds of millions of Adobe customers already faced.
Compromised data: Email addresses, Password hints, Passwords, Usernames
---------
---------
LinkedIn: In May 2016, LinkedIn had 164 million email addresses and passwords exposed. Originally hacked in 2012, the data remained out of sight until being offered for sale on a dark market site 4 years later. The passwords in the breach were stored as SHA1 hashes without salt, the vast majority of which were quickly cracked in the days following the release of the data.
Compromised data: Email addresses, Passwords
---------
の2件がヒットした。
だが、2社とも本サービスからパスワードを変えるよう連絡は来ていない。
Adobeはなんと2013年に起こった不正アクセス事件。この不正アクセスに関するAdobeのブログにはFAQもあり、
---------
当社は、攻撃者により盗まれたデータベースに含まれていた現在の資格情報 (暗号化された有効なパスワードに紐付けされた Adobe ID アカウント) を持つすべてのユーザーのパスワードをリセットしました。このことについては、次の 2 つの方法でユーザーに通知しております
---------
とのこと。
つまり、連絡が来ていないということはAdobe側では筆者のアカウント情報は漏洩していないということになる。
なお、同じAdobeのブログにはスパムやフィッシングに利用するために、メールアドレスを集める目的で「メールアドレスの流出をチェックする」と謳うサイトもあるので決して利用しないようにという記述もある。
◎利用している全てのサービスのパスワードを変えていくのが安全
こうなると何が真実かわからないが、Amazonからこうしたメールを受け取ったら、
・Amazonのパスワードは変える
・同じメールアドレスをログインに使用しているサービスのパスワードも変える
これを実行しておくことだ。
筆者はやってしまったが、
・「メールアドレスの流出を検索する」と謳うサイトを使ってみる
というのは決してオススメできない。
メールアドレスだけだとしても、フィッシングの対象リストに入ってしまえば、それだけ危険にさらす機会が増えることになるのだから。
さらに、この際は、意を決して、使い回していたパスワードも一掃しておこう。
パスワード管理ソフトなどもあるが、覚えやすいパスワードでなくともいいと割り切り、とにかく複雑な文字列で強いパスワードを作りメモしておくことがオススメだ。
大内孝子
