昨年末から各所で話題になっていたことは知っていましたが、まさかわが身にそれが降りかかるとは思いませんでした。注意喚起の意味も含めて、わが身に起こったこととその考察をまとめておきます。
起こったこと
2013年1月24日は、陸上自衛隊の久里浜駐屯地で開催されていた通信学校フェアに自担当から出展してた関係で、その説明員として現地で説明を行っていました。人が少なくなった時間帯を狙って交代で休憩に入り、駐屯地内の売店で自衛隊に入隊する人向けのコーナーを見ていた14:18に、職場の人から自分の携帯に電話がかかってきました。
”お前のGmailのアドレスからURLが1行だけ書かれたspamが送られてきたぞ。”
Gmailアカウントの乗っ取りが昨年秋頃から報告されていて、日本でも年末あたりから話題になっていたのは知っていたので、おそらくそれだと直感しました。仕事がセキュリティ関係で、連絡をくれた職場の人のセキュリティ意識が極めて高く、かつ”運よく”spamフィルタに弾かれずにその人の受信トレイまで届いたので、ほぼリアルタイムで連絡をもらえたわけですが、これは不幸中の幸いであったと言えるでしょう。
その場で取った一次対応と対策
手元には携帯しかなく、しかも業務中だったので、できることは限られていましたが、以下を実施しました。
1. Gmail = Googleアカウントのパスワード変更
通常はアカウントが乗っ取られたら、パスワードも変更されてアカウントへのアクセス自体ができなくなるのが普通ですが、過去にGmail乗っ取りの被害に会った方々によれば、乗っ取られたといってもなぜかspam配信に利用されるだけで、アカウント自体は無事であると聞いていたので、まずは変更を試みました。案の定ログインができたので、絶対辞書には載っておらず、かつ総当たりでもクラック不可能な、他では利用していないパスワードを設定しました(数字 + 大文字英字 + 小文字英字 + 記号を組み合わせた11文字)。
2. Gmailの送信履歴の確認
続いてGmailにログインして送信履歴を確認しましたが、メールを送った形跡はありませんでした。念のためゴミ箱なども見てみましたが、どこを見てもありません。送信メールを完全削除することはできるはずなので、きっとそうしたのだとその場は納得しました。
3. アカウントアクティビティの確認
更に、Googleアカウントのアカウントアクティビティレポートを確認してみましたが、結果的にこれには最新のアクティビティは含まれておらず、参考になりませんでした。ここでタイムアップとなり、展示場所に戻りました。
4. 口頭での注意喚起
たまたま展示会会場に、過去にGmailでやり取りをしたことがあり、かつ連絡先にメールアドレスを登録していた人がいたので、その人に口頭で注意喚起をしました。
後で取った二次対応と対策
自宅に戻った後、少し落ち着いてから取った対応は以下の通りです。とはいっても、この日は久里浜に8時に到着するために5時に起きていて、かつ長男の誕生日だったので、必要最小限だけを行ってすぐに寝てしまったのですが…
1. 関連サービスの登録解除
GoogleアカウントやGmailに限らず、最近はオンラインサービス同士で連携を取ることができるようになっています。その設定/解除を行うページから、登録されているサービスの削除を行いました。Googleのアカウント情報がどこから漏れたのかはわかりませんが、連携しているサービス側にはその情報があってもおかしくないので、念のため削除しました。
2. 同じパスワードを利用しているサービスのパスワード変更
無数にあるWebサービスを利用していると、どうしてもパスワードを使いまわす場面が出てきます。私はKeypassを利用してパスワード管理を行っているので、普通の人よりはパターン数は多いと思いますが、それにてもすべて別々というわけにはいきません。Gmailと同じパスワードを設定しているサービスもありましたので、そのパスワードも変更しておきました。
3. Gmailのアカウントアクティビティの確認
Googleのアカウントアクティビティとは別に、GmailのWeb画面の右下にあるリンクからGmailのアカウントアクティビティを確認できます。ちなみに、GmailのアカウントアクティビティはAndroidアプリからは確認できないので、モバイルで見ようと思ったらPCサイトとしてブラウザから接続する必要があります。また、表示されるのは過去10回分のログインのみで、それより前の履歴を確認する方法はないようなので、速やかに確認する必要があります。
ここを見たら….ありました!連絡をもらった2013/1/24 14:18の数十分前に、アメリカからのログインが記録されていました。CMANでIPアドレスを引いてみたところ、米国オレゴン州のISPからのアクセスでしたが、名前に”Wireless”と入っていたので無線系なのでしょう。これを見るまではISPに一言くらい文句を言おうと思っていましたが、War Drivingなどで発見したアクセスポイントを不正に利用している可能性が高いと考え、それ以上の追跡は行っていません。
4. spam送信先の確認
他の人の被害報告を見ていると、”連絡先にメールアドレスが登録されていた”人にspamが送信されたとのことでしたが、私の場合はどうやら過去に受信したメールのFromアドレスが対象となっていたようでした。送信履歴が残っていないため、果たしてすべてのアドレスに送信されたのか、それともランダムに抽出された一部のアドレスに送信されたのかはわかりませんが、送受信があったのが数年前のアドレスにも送信されていたので、前者の可能性が高いように見受けられました。
ちなみに、エラーで戻ってきたspamを見た限りでは、一通当たり9つのメールアドレスがToに入っており、それらのアドレスはアルファベット順でソートされているようでした。おそらく、スクリプト名などでアドレスを抽出した後、アルファベット順に9件ずつ機械的に拾ってspamを送信し、最後に送信履歴を削除したのでしょう。過去の被害報告を見ていると送信履歴が残っているケースが多いようなので、攻撃側のスクリプトも進化しているのだと思われます。
5. Google Walletの利用履歴確認
私はGoogleの有償サービスをGoogle Walletを利用して購入したことがあったので、クレジットカード情報(もちろんカード番号そのものはオンラインでは確認できませんが)がGoogleアカウントと紐づいています。つまり、Googleアカウントにログインすることができれば買い物ができるのです。このため支払履歴をチェックしましたが、大丈夫でした。
6. 二項目認証の有効化
昨年末頃に乗っ取りの話を聞いたときに、念のため二項目認証を有効にしようとしたのですが、私の携帯(Google Nexus S)では、もパスコードをうまく受け取ることができず(キャリアメール or 音声だが、前者 = imodeは通常見ておらず、後者はすぐに通話が切れてうまくいかない)、結局あきらめてしまいました。
今回被害に遭って改めて試みましたが、やはりうまくできません。しかし、よくよく調べてみたらGoogle認証システムというAndroidアプリが公開されており、こちらを導入したところあっさりと有効にできました(昨年末の時点で知っていれば…)。現時点でGmailアカウント乗っ取りのもっとも有効な対策は二項目認証の有効化なので、このエントリを読んでいる方にもぜひ有効化することをお勧めします。
不思議な点
他にも書いている人はいますが、一連のGmailアカウント乗っ取りには不思議な点がいくつもあります。
1. 目的はあくまでspam送信
もし私が悪者で、他人のGmail = Googleアカウントを悪用目的で乗っ取ることに成功したら、spam送信以外にも色々なことをするでしょう(具体的には書けませんが)。しかし、今回の乗っ取りの目的はあくまでspamメールを送ることのみで、それ以外のことには一切興味がないように見えます。
もちろん、ニュースになるほどに多数のアカウントが破られているということは、何らかの形で自動化されている = 個別のアカウントを細かくいじる余裕はないのでしょうが、不自然といえば不自然です。
2. アカウント情報の流出元がわからない
心当たりが皆無とは言えませんが、それなりに注意はしていますし、ウイルス対策も利用しているすべての端末で行っています。確かにアメリカに出張した際にホテルや空港の無線LANを利用したりしましたが、それにしてもGoogleアカウントへのログインはSSLで保護されているはずです(MITMの可能性がないとは言えませんが)。
そうなると総当たりということになりますが、実行すると(おそらく)アカウントアクティビティに何かが出るはずです。推測などですぐに突破されるほど甘いパスワードを設定していたわけでもなく、どこからパスワードが漏えいしたのか本当に不思議です。
Gmailアカウント乗っ取りの兆候
私の場合、運よくセキュリティ意識が非常に高い人からすぐに連絡をもらうことができましたが、これは非常に運がいいケースだと思います。最近はspamフィルタが発達していているので、そもそもspamが誰の受信ボックスにも届かない可能性も十分にあります。spamが届かないのは結構なのですが、逆にこれにより乗っ取りに気付く契機を失ってしまうということを意味します。もしアカウントを乗っ取った側が更なるアカウントの悪用をもくろんでいたら、この遅れが致命傷になる可能性があるでしょう。
今回、乗っ取り前後に確認できた事象を以下にまとめておきます。以下を確認したら、乗っ取りを疑うべきでしょう。
-
身に覚えがない(何らかのサービスの)パスワード変更などのメールが届く
後で気が付いたのですが、spamが送信されたと思しき時間帯に、あるWebサービスのパスワード変更通知が届いていました。これは、おそらくspamの送信先を受信メールのFromアドレスから取得した際に、そのWebサービスのアカウントを登録した際の通知メールのFromアドレスが抽出され、そこにspamが送信された結果として、タイトルのようなメールが自動返信されたと考えられます。この手のシステムは、通常は返信の制限時間が設けられており、それを経過すると無視するような実装になっているでしょうから、今回標記のメールを送信したシステムは、あまり筋が良くないシステムだったといえるでしょう。
-
自宅でメインで利用しているメールアドレスにspamが届く
これも後で気が付いたのですが、自宅でメインで利用していたメールアドレスにも、問題のspamメールが届いていました。公私にわたってGmailをメインアドレスとして利用している人もいると思いますが、私のようにサブメールアドレスと割り切って利用している方も多いと思います。その場合、情報共有などの目的でGmailにメインアドレスからのメールを送る場合があるのではないでしょうか。
そうであれば、Gmail(を含むサブメールアドレスすべて)がFromとなっているメールについて、日常的に利用しているメールソフトでspam判定されないように明示的に設定することで、乗っ取りに気が付くことができる可能性が大きく上がるでしょう。今回の場合はThunderbirdの迷惑メールフィルタには引っかかりませんでしたが、引っかかっる場合を想定しておくべきでしょう。
-
問題のGmailにエラーメールが届く
私の場合、Gmailアカウントを2004年から利用していたこともあり、spamの対象となったアドレスの中には現在利用されていないアドレスもいくつか含まれていました。乗っ取られたアカウントから送信されるspamのFromは偽装されていないため、存在しないアドレスが宛先になっていれば当然エラーメールが普通に届きます。
エラーメールはさまざまな理由で届きますし、エラーメールを装ったspamも時々見かけるので、うっかりすると見逃してしまうかもしれませんが、内容を見ればGmailのアカウントが乗っ取られた結果として送信されたspamに対応するエラーメールであると気が付くことは難しくないはずです。
その後の経過
上記の対策を行ってからしばらく様子を見ていますが、2013/2/1現在で特におかしなことは発生していないようです。二項目認証を有効にした以上、さすがに不正ログインはもうできないと思いますが、更に様子を見ながら慎重に利用を再開してゆきたいと思っています。