Gmail乗っ取られました

By On 2012年12月25日 · 17 Comments

最悪のクリスマスです。
12月25日午前10時30分ぐらいに私のGmailのメールボックスに
大量のメールが来ていました。
それと同時に友人に、アカウント乗っ取られたの?とのメールがあって何かとおもったら
Gmailに不正ログインがあったことが判明しました。

私は主にGmailとHotmailを共用しているのですが
Gmailを主にプライベートと、各種サービスのアカウントに使用し、
Hotmailをプログラミング活動に利用していたのですが
不正ログインのせいでGmailの連絡帳の人に一人あたり約8通1通のメールを送ってしまったみたいです。

アカウントを乗っ取られてまずかったのは以下の点
①Gmailの不正利用
②Gmailに送られたパスワードとメールアドレスの組み合わせから各種サービスにログインされること
③Gmailに保存していたクレジットカードなどの情報が漏れること
④不正メールによる二次災害

とりあえず
を参考にしてGmailが不正アクセスされたとき用にパスワードの変更を行いました。
アカウント凍結したかったのですが、凍結してはまずいアカウントだったのでパスワード変更だけにとどめました。
また被害が出るようなら凍結します。

また、乗っ取られたメアドのメールを、重要そうなものをThnderbirdで別のアカウントに移行しました。
特にクレジットカードやパスワードの情報は非常に危険なので
クレジットカード会社に連絡し、パスワードを変更しました。

また、すべての連絡先にメールが送られてしまったので謝罪とURLを開かないようにとメールし、二次災害を防ぎました。
各種SNS(特にFacebook)は非常に危険なのですぐにパスワードを変更し、Hotmailの方にメールアドレスを移行しました。

そして、不正アクセスがあったIPを所在地検索してみると、
なんとアメリカ合衆国の、ジャイアンツ・スタジアムでした。
スクリーンショット 2012-12-25 14.33.39

どこでパスワードがバレるようなことがあったかと考えましたが、
Gmailのメールアドレスは各種サービスに登録していますのでそのどこかである可能性もありますし、
昨日、カプセルホテルの無線LANにつないだあたりもあやしいです。

とにかく、今回の私の失敗点は、連絡用メールアドレスと各種サービス登録用メールアドレスを同じアカウントにしていたことです。
幸いにもプログラミング活動などで重要な方々にはHotmailでやり取りをしていたので無事でしたが、
それでもGmailでやり取りしていた方々に不正メールを送ってしまいました。
本当に申し訳ございませんでした。

僕のようにGmailを利用している人はパスワードを定期的に変更するか、
連絡用と各種サービス用は分けましょう。

—追伸——-
この記事を書いている途中に発覚したのですが、
Gmailが乗っ取られたのは私だけではなく、ほかの方も乗っ取られたそうです。

—追伸(12/26)——
拡散されたスパムメールは約8通と書いていましたが、
各アドレスにつき、1通ずつでした。

はてなブックマーク - Gmail乗っ取られました

 
がりっちの記事をシェアしよう

17 Responses to Gmail乗っ取られました

  1. みむら より:
    2012年12月25日 6:15 pm

    みむらです。

    今回の一件は日本でもとある有名な評論家さんもやられました。
    考えられるルートとしては、
    パケットの盗み見というのも考えられますが、
    それよりも身近な例としては、
    ・他のアカウントからのデータ流出
    ・偽のログイン画面に認証情報を入力してしまったことによるフィッシング
    ・悪意のある連携アプリケーションの認証

    が考えられます。

    一番あり得るのがフィッシング画面への入力だとおもいます。
    たとえば、「Google Account でログインしてください」というような画面が出ていてログインしてしまったなど。
    必ず Google のサイト経由で行われているかを確認するといいかと思います。

    次にアプリですが、これは認証時にちゃんと判断するとして、
    現時点ではアカウントの設定画面 -> セキュリティ -> 「アプリケーションとサイトを認証する」で管理可能です。
    アドレスを取得するというのであれば、Facebook が連携しているのを見ればわかるとおり、認証さえできれば簡単にできます。

    ・・・パケットキャプチャと他のアカウントからの流出は結構めんどいので、よほどの理由がないとやらない気はしますが。。
    ただ、他の偽ログイン画面にログインして、同じID / PW であれば流用するでしょうね。気をつけないとまずいです。

    そんなこんなで、
    最近ノロウィルスのようにはやっている事例ですので、
    くれぐれも気をつけてください・・w

    そして、一通りの対応(必要に応じて2段階認証プロセスを有効にするなど)が終えたらゆっくり休んでください。

    ———–
    P.S.
    http://fladdict.net/blog/2012/08/icloud-hack.html
    こんな感じで、パスワードリセットの仕掛けを使って
    アカウントを取得するという事例もありますが、
    よほど理由がないとやらないかとおもいます。

    今回はたぶん、初歩的な手法に引っかかったパターンじゃないかなと。。

    であであ。。

    返信
    • garicchi より:
      2012年12月25日 6:49 pm

      みむらさん。
      コメントどうもありがとうございます。
      私自身セキュリティは全く気にしておりませんでしたので、
      やられてよい教訓になったかなと思います。

      幸い、迷惑メールの送信だけでとどまったので
      今のところまずそうなことは起きていません。

      今度から気をつけようと思います

      返信
  2. より:
    2012年12月25日 8:26 pm

    2段認証はしていないんですかぁ?

    返信
    • garicchi より:
      2012年12月25日 10:35 pm

      2段認証はログインするたびに携帯にメールが送られるのも嫌なので
      今までしていませんでした。
      今後検討します

      返信
      • helloworld より:
        2012年12月26日 12:48 am

        iPhoneなどあれば、専用アプリでその場でワンタイムパスワード確認して入力するのでメールは不要ですよ。
        さらに、一度ログインすれば、その端末は30日間はワンタイムパスワードは不要です。おそらくCookieなので削除すればまた必要かな。

        ちなみに、自分は2段階もしてますが、GoogleAppsのメール・エイリアスでサービス登録に利用してます。なのでログインも防げます。

        返信
        • garicchi より:
          2012年12月26日 8:14 am

          コメントありがとうございます。
          2段階認証はCookieが残ってる限り入れるのですね。
          そうなると自分でも導入できそうです。
          情報ありがとうございました。

          返信
  3. 観覧車 より:
    2012年12月26日 2:44 pm

    本文中には記載がありませんでしたが、「他のセッションをすべてログアウト」は実行されましたでしょうか?
    以前複数ブラウザを併用して試した時は、Googleアカウントのパスワード変更を行っても以前のパスワードでログイン済みの他セッションが切断される事は無かったように記憶しています。(記憶違いだったらすみません)
    現時点では仕様が変わってるかもしれませんが、念の為アクティビティ画面から「他のセッションをすべてログアウト」ボタンを押下する事をお勧めします。
    アクティビティ画面はGmailの設定画面右下にある「アカウント アクティビティの詳細」のリンクから開くことが出来ます。

    返信
    • garicchi より:
      2012年12月26日 6:49 pm

      コメントありがとうございます。
      一応、アカウントアクティビティの詳細からセッションのログアウト後、
      パスワードの変更を行いました。

      返信
  4. 通りすがり より:
    2012年12月26日 3:05 pm

    はじめまして
    私は今朝、gmailの不正アクセスを喰らいました
    早くパスワード変えてねーってメールで言われたので
    とりあえず安心ではありますが・・・・

    返信
    • garicchi より:
      2012年12月26日 6:50 pm

      コメントありがとうございます。
      通りすがりさんも同じ被害に合われたのですね。
      全国でも同じ被害に合われた人はたくさんおられるようです。

      返信
  5. a より:
    2012年12月26日 8:41 pm

    アカウントアクティビティのスクリーンショットを添付していただけると、不正アクセス経路について調べられるかもしれません。
    IPアドレスよりも、アクセス タイプの方に興味があります。

    返信
    • garicchi より:
      2012年12月26日 9:23 pm

      a様。コメントありがとうございます。
      スクリーンショットは残していませんが、アクセスタイプは不明だったとおもいます。

      返信
  6. じん より:
    2012年12月27日 10:49 am

    あら・・・・ 自分は 乗っ取りには あいませんでしたけど 不正にログイン
    されそうになったみたいで アカウント変えてくださいときてました。^^;;

    発信は 中国の広東省になってましたね。
    慌てて パスワードかえ 二段階認証にしましたよ^^
    それからは 警告もきてないみたいですし たちまちOKなのかな?
    嫌な 世の中になりましたね~~。゚(゚^∀^゚)゚。

    返信
    • garicchi より:
      2012年12月27日 5:18 pm

      じん様。
      コメントありがとうございます。
      今やクラウド化が進んでユーザー名とパスワードさえあればどこでも
      サービスが利用できる時代になりましたね。
      だからこそ、それだけセキュリティ意識を高めなければいけないことを理解しました。

      返信
  7. 名無し より:
    2012年12月28日 10:03 am

    Googleのサービスは全てHTTPSで管理されていますから、
    パケットの盗み見という可能性はないです

    返信
    • garicchi より:
      2012年12月31日 9:34 pm

      コメントありがとうございます。
      そうですね、ニュースサイトによるとパスワードのランダムアタックがあったとかのうわさがありました

      返信
  8. シバケン より:
    2012年12月30日 11:03 pm

    シバケンと申します。宜しく、お願い致します。

    <尚、入力のメール・アドレスは実在致しません。>

    要件は、当ページをリンク致しましたので、宜しく、ご了解をお願い致します。

    リンク目的は、garicchiさんにとりまして、喜ばしい事例ではありませんが、黙って、リンクは失礼ですので、ご連絡申し上げる次第です。
    <尚、個人サイトをリンクの場合、連絡手段のある限り、リンク連絡しております>

    以上、宜しく、お願い致します。

    リンク先
    =<警告>Gmailの乗っ取り事件<?>多発<!>
    「掲示板」
    http://shiba2211ken.bbs.fc2.com/?act=reply&tid=7449220
    「HTML」版
    http://www.eonet.ne.jp/~shibaken-oyazi/mina_zisetu_15.htm#no51

    返信

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <img localsrc="" alt="">