トピックス 2018.12.18 無視してはいけない「会員サイトから届く通知」

　届いた通知が本物なのか偽物なのかを見分けられないという方が多いが、リンクをクリック/タップする前に、偽装されていない本当のリンク先を確認することで、全ての偽物とほとんどの本物を事前に確認することができる。リンク先が公式サイトであるかどうかを確認するだけだ。詳しくはトピックス『だまされて被害にあう人が後を絶たない「偽メール」の見分け方』を参照頂きたい。

　リンク先を確認するためには、メールを開かなければならない。よく「安易にメールを開くな。ウイルスに感染する」などと言われるため、見慣れない通知は開かず読まないまま削除してしまう人もいる。たしかに偽の通知は多いが、中には普段と違うことが起きたことを知らせる本物の通知が紛れ込んでいることもある。

　かつては、メールを開いただけで感染してしまうマルウェアがあった。かなり昔の話だが、当時から一切アップデートを行っていなければ今でも起こりうる。しかし、「システムやアプリを常に最新の状態にする」「警告が出たら中止し、それ以上先に進まない」を遵守していれば、現在は、メールを開いただけでマルウェアに感染するようなことは起きない。あるとすれば、迷惑メールが増える懸念だけだ。

　普段とは違う環境からログインすると、通知を送ってくるサービスは多い。メールアドレスなどの変更時にも、よく通知が送られてくる。サービス側の通知設定にもよるが、これらは重要事項なので、必ず通知が来るように設定しておこう。サービスによっては、重要事項の連絡専用のメールアドレスや電話番号を登録できるところもある。利用できる場合には、他の通知に紛れて見落とさぬよう、設定しておくことをおすすめする。

　自身のログインや設定変更したタイミングで届いた通知は、自身の操作によるものだが、そうでない場合にはアカウントが乗っ取られるおそれがある。ただちにサービスにログインし、あるいはログイン済みのアプリやブラウザを使い、パスワードを変更する。すでにログインできない場合、あるいはパスワードが変更できない場合には、リカバリー手続きを行うか、サポートに問い合わせて頂きたい。

　パスワードを変更すると、アカウントに侵入した相手は再びログインすることができなくなるが、安心してはならない。ログイン済みの侵入者を追い出せるかどうかは、サービス次第だ。パスワードを変更してもアプリ等に再ログインを求められないサービスは、侵入者が居座っている可能性がある。ログイン済みや信頼済みの端末・アプリをリセットする機能を探してリセットするか、サポートに問い合わせて頂きたい。

　アプリの連携は、パスワードを変更しても解除されないことが多い。侵入者に不正なアプリやサービスを連携されている可能性もあるので、必ず確認し、身に覚えのない連携があったら解除しておく。いったん全て解除し、必要なものを再連携するのも一計だ。

　不正ログインがらみの問題が発生すると、運営側でパスワードを強制的にリセットされることがあるが、それとは別に、第三者にパスワードの再設定機能を使われ、その通知が届くことがある。パスワードを忘れ再設定しようとした人が、メールアドレスや電話番号を誤入力し、たまたまそれが一致したというケースもあるかもしれないが、再設定機能を悪用して登録ユーザーのメールアドレスや電話番号をあぶり出そうとしている可能性を疑おう。不正ログインされたわけではないが、登録したメールアドレス等が流出している可能性がある。

　今年9月、ローソンが会員のパスワードをリセットし再設定の通知を送った。不正ログインが相次いだためだ。それに先駆け、公式サイトのパスワード再設定機能を使用したと見られる再設定通知を受け取るユーザーが相次いだ。入力制限がなかった再設定機能を使い、有効なアカウントのスクリーニングを行っていた可能性が高い。11月末には、ドラッグストア「サンドラッグe-shop本店」の新規会員登録の仮登録通知が、心当たりのないユーザーに相次ぎ届いた。登録されているメールアドレスをあぶりだすために、第三者が登録手続きを行ったとみられる。ローソンの場合は、あぶり出されたローソン会員に通知が届くが、こちらは何らかの方法でメールアドレスを入手された非会員に通知が届く。どちらも、どこかでパスワードを使い回していると、不正ログインされるおそれがある。

Facebookの「信頼できる連絡先」のように、知人を利用して復旧できるサービスもある。
事前に登録したメールや電話番号、端末、アプリなどに代わり、登録した知人に復旧用のコードを受け取ってもらう、SNSならではの機能だ。
この機能では、復旧を手助けしてもらう相手が本当に信頼できる人であることと、手を貸す側が本人になりすました第三者に手を貸してしまわないように注意することが重要だ。
実際にこの機能が悪用され、アカウントを乗っ取られてしまった事例があるので注意したい。

▲モジラが公開したサービス「Firefox Monitor」

　これは、セキュリティ研究者のトロイ・ハント氏が運営する「Have I Been Pwned」と提携するサービスで、収集された流出アカウントの中に、自身のメールアドレスが含まれているかどうかを検索できる。利用は無料で、Firefox以外のブラウザからでも利用可能だ。

「Firefox Monitor」のWebサイト（URL下記）で、「メールアドレスを入力してください」の欄にメールアドレスを入力し、「あなたのメールアドレスを検索」をクリック/タップすると、アカウント流出に巻き込まれていないか確認できる。メールアドレスを登録することで、問題が発生した場合に通知と詳細レポートを受け取ることも可能だ。

【関連URL】
・ローソンID会員様へのアカウントメールアドレス・パスワード変更のお願い（ローソン）
https://www.lawson.co.jp/info/20180908_mai.html
・当社からの仮登録メールにつきまして（サンドラッグ）
http://www.sundrug.co.jp/news/2018/post-63.html
・Firefox Monitor
https://monitor.firefox.com/

【関連ピックス：セキュリティ通信】
・『だまされて被害にあう人が後を絶たない「偽メール」の見分け方』
https://www.so-net.ne.jp/security/topics/201809.html

TEXT：現代フォーラム