昨日突然Google神から
Googleアカウントに不正なログインがあったぞい
とのメールが届きました。
ん?
↓身に覚えはなく最近のアクティビティをチェックすると、、、
おぅふ・・・
がっつり不正なログインされてるじゃないっすか(汗)
しかもすでに4日前にログインされていたとは・・・。
なぜかその時点ではGoogleからメールは来ず。
どちらにしろGoogleに不正ログインされるのは恐ろしすぎる・・・なんたってデータの重要性が高すぎる。
不正ログインされた原因はパスワードの弱さ
最近2段階認証を導入したばかりなのになんで不正ログインがあったんだ?
と不思議だったんですが実はメインのGoogleアカウントではなくむかし他の用途で使っていたGoogleアカウントでパスワードが適当なものだったんです。
今見るとそのパスワードは
- 英単語みたいになってて総当り攻撃に弱そう
- 文字数が8文字
- 2段階認証なし
applepi1
↑こんな感じのパスワードになってました。人力では解読できないかもしれないけど総当りしたら簡単に破れそうっちゃ破れそう。
そりゃぁ不正ログインされても仕方ないというセキュリティの甘さでした。
もう4年近く放置してたのでまったく把握できてません。
すぐにパスワード変更と2段階認証設定
自分のGoogleが不正ログインされてしまった話に戻りますが30分後くらいにパスワードを1Passwordで生成したランダムで強固なものに変更。そして2段階認証を設定しました。
使いまわししていたパスワードを変更
今回不正ログインされたパスワードはどうやら他にも4つのサービスで使い回ししてたみたいなのでパスワードを変更したりアカウントを削除したりしました。
使いまわししていたサービスは重要なものではなかったのでGoogle→Amazon→Yahoo!みたいに芋づる式に破滅的な被害を被ることはありません。
もしパスワードの使い回しをしていた場合は一度バレたパスワードは非常に狙われやすくなるので他のサービスで使っている場合は絶対に変更しないといけません。
ヒューマンエラーのほうがよっぽど危険
こうして見るとウィルス対策ソフトの良し悪しよりもヒューマンエラー(セキュリティ意識)のほうがよっぽど危険ですよね。
- 総当り攻撃で簡単に突破できるパスワード
- 個人情報から推測できるパスワード
- 同じパスワードの使い回し
- ふせんにパスワード書いてパソコンに貼る
- メモ帳にパスワード全部書いてパソコンの近くに置いている
- メールでパスワードを送信する
- 出所がわからないメールのリンクを警戒無しにクリックする
- 出所がわからないサイトのURLを確認しない
などなど書いたら切りがありませんけど不正ログインする側もヒューマンエラーを狙ったほうが簡単だからセキュリティの意識が低い人は常に狙われてしまいます。
まとめ
なのでせめてパスワードを作る時はランダムな文字列を生成してソフトで管理したほうがセキュリティが高くなり手間も減らせます。
いつも為になる記事を書いて頂き、ありがとうございます。
不正アクセスですか・・今まであまり気にした事がなかったのですが、この記事を読んでからちょっと怖くなりました。
正直に言いますと、パスワードはほとんど使い回しです。ヽ(;▽;)ノ
人ごとでは無いので、自分もしっかり対策をしようと思います。。