ここ1ヶ月ほど、以前メールでやり取りしたことがある人から、スパムメールが何通か届きました。(Gmailでは、既にメールのやり取りをしている相手からのメールはスパムとしてマークされにくいため、これらのスパムメールに気づきました。)珍しいのは、これらのスパムメールが、あたかも私の知り合いから送られたように見せかけた偽装メールではなく、実際にリストに挙げられているアカウントから発信され、そのアカウントのアドレス帳に登録されている人宛てに送信されたということです。
各メッセージのReceivedヘッダーを遡ってみると、確かにその通りであることがわかります。ユーザーのGmailアカウントから送信されたとされるメッセージは、実際にはGmailから送信されていたのです。私は、Gmailアカウントから、AOLアカウントから、そしてMSNアカウントから、このようなスパムメッセージを数件確認しました。私が見たもののほとんどは、医薬品サイトへの単純なリンクでした。また、ロンドン旅行中に財布を盗まれた友人のアカウントから送られてきた、緊急の金銭援助を求める特定の種類のスパムもよく見られます。文章は稚拙ですが、一部の人を騙すには十分信憑性があります。
Receivedヘッダーと、To行に誰かのアドレス帳から取得したアルファベット順のアドレスが含まれているという事実から、問題のアカウントが何らかの方法でハッキングされ、悪意のある人物が実際に被害者のアカウントにログインしてメールを送信していることがわかります。また、私はMobileMeやYahoo!メールの加入者からこの種のスパムを受け取ったことはありませんが、MobileMeやYahoo!メールのアカウントがハッキングされ、スパム送信に使用されたという経験をした人を知っています。
できること— こうした事態が発生する可能性を減らしたり、万一発生した場合の被害を軽減するために、いくつかの提案があります。
最も重要なのは、Webベースのクライアントを備えた主要なメールサービス(Gmail、MobileMe、AOL、MSN、Hotmail、Yahoo!メールなど)を使用している場合は、アカウントのパスワードを直ちに変更することです。アカウントがハッキングされた方法によっては、それだけでは不十分かもしれませんが、変更する価値はあります。
パスワードを変更する際は、文字、数字、そして可能であれば句読点を含む強力なパスワードにしてください(すべてのサイトで句読点が使用できるわけではありません)。パスワードの強度を確認するには、ユーティリティフォルダからAppleのキーチェーンアクセスアプリケーションを開き、「ファイル」>「新規パスワード項目」と選択し、パスワードを入力する際に強度インジケータを確認してください。適切なパスワードが思いつかない場合は、鍵ボタンをクリックしてパスワードアシスタントを起動すると、強力なパスワードが自動的に作成されます。パスワードに関する詳しい情報については、Joe Kissell著『Take Control of Passwords in Mac OS X, Second Edition』をお読みください。
個人情報を含む複数の大規模サイトで同じパスワードを使い回さないでください。例えば、スパマーが大量のFacebookのユーザー名とパスワードからあなたの情報を入手できた場合、その情報を使ってGmail、Amazon.com、Citibankのアカウントを乗っ取られるのは避けたいものです。(Facebookのハッキングは、メールアカウントのパスワードが盗まれた方法の一つと考えられています。)究極のセキュリティを求めるなら、単一のプログラムへの依存度が高まりますが、1Passwordのようなユーティリティを試してみてください。このユーティリティは、アクセスするサイトごとに個別に強力なパスワードを作成し、自動的に入力してくれます(パスワードを覚えておくことは不可能です
)。
Gmail、Twitter、Facebookなどの特定のパスワードは、dlvr.itなどの補助的なWebサービス、TweetDeckなどのMacプログラム、TwitterrificなどのiOSアプリでも使用されていることに注意してください。メインのパスワードを変更すると、他のすべてのパスワードも更新するまで、一部の機能が利用できなくなる可能性があります。
可能な限り、特にWi-Fiホットスポットやその他の公共接続経由でインターネットにアクセスする場合は、安全な接続(またはVPN!)を使用してください(アドレス欄にhttpsが含まれていることを確認してください)。Firefoxをお使いの場合は、EFFの新しい拡張機能「HTTPS Everywhere」をお試しください(2010年6月18日の記事「HTTPS Everywhereで簡単な暗号化を実現」を参照)。接続のセキュリティ保護に関する詳細と実践的なアドバイスについては、Glenn Fleishmanと共同執筆した「Take Control of Your Wi-Fi Security」をご覧ください。
ご利用のメールプロバイダーがメールを別のアカウントに転送することを許可している場合は、設定を確認してください。フィルターもスキャンし、自動転送が可能な場合は設定を確認してください。ロンドンの詐欺師たちはメール転送を利用しており、あなたがアカウントを使い続けても発見されないようになっています。より一般的には、可能性は低いと思われますが、悪意のある人物が転送を利用してあなたのすべてのメッセージのコピーを別のアカウントに流用し、スキャンする可能性があります。MobileMeアカウントがハッキングされたあるケースでは、詐欺師はそこからメールを転送していただけでなく、パスワードとすべてのセキュリティ質問も変更していました。
電子メールに何を入れるかには注意してください。ランダムな悪意のある人物があなたの生活に関する情報を悪用する可能性は低いですが、パスワード、銀行口座番号、クレジットカード番号などが自動的に抽出される可能性があります。
アカウントがハッキングされる可能性に備えて、事前に連絡可能な相手と対応方法を把握しておきましょう。例えば、Gmailをご利用の場合は、一時的に無効化されたアカウントを再度有効化するための確認テキストメッセージを受信できる携帯電話番号を事前に設定しておきましょう(その理由については後ほど詳しく説明します)。また、MobileMeをご利用の場合は、電話サポートはありませんが、ライブチャットサポートがある点にご注意ください。
可能であれば、Apple MailなどのPOPまたはIMAPクライアントを使用して、すべてのメールのローカルコピーを保存してください。誰かがあなたのアカウントからスパムを送信できる場合、保存されているすべてのメールも削除される可能性がありますが、そうする唯一の理由は破壊行為です。IMAP経由でローカルコピーを保存している場合は、ローカルIMAPストアをバックアップしてください。リモートメッセージがすべて削除されると、IMAPクライアントはアーカイブを削除する可能性が高いためです。
激化する戦争と巻き添え被害— これらの出来事を踏まえ、少なくともGoogleはセキュリティを強化していると私は確信しています。ここ2週間で、私とTonyaを含め、多くの人がGoogleによってGmailアカウントを一時的に停止されました。私たちはそれぞれ、iPhoneで確認コードを受け取り、それをGmailに入力してパスワードを変更することで、アカウントを再開することができました。
同じような経験をした友人からのヒントに従って、過去 24 時間以内に送信したメールを見直したところ、Google が簡単にスパムと判断したであろう 1 つのメッセージを見つけました。それは 1 行のテキストとそれに続く URL で、3 人の受信者に送信されていました。
Googleは送信メールにスパムのような動作がないか監視しているはずです。もしGoogleが監視コードの感度を上げてアカウントのハッキングをより早く検知していたとしたら、私のアカウントが一時的に無効になった理由を説明できるかもしれません。(アカウントが侵害されたり、パスワードが盗まれたりしたという証拠はありません。)
このような問題は、Apple、Google、Yahoo、Microsoftのような大規模な攻撃対象ではない、小規模なISPやメールプロバイダーでは発生する可能性が低いです。また、万が一問題が発生した場合でも、小規模な企業の方が人によるサポートを提供してくれる可能性が高く、アカウントが不正アクセスされたり、無効化されたりした場合には非常に心強い存在となります。もちろん、大手メールサービスにも多くのメリットがあります。人生にはトレードオフがつきものですから。
もちろん、ここで述べたことの多くは観察と推測に基づいていますが、いずれにせよ、パスワードは定期的に変更することをお勧めします。アカウントがハッキングされた経験があり、その経緯をご存知の方がいらっしゃいましたら、ぜひコメント欄で体験談を共有してください!