お品書き
書き直し中…
とりあえず、中へどうぞ
↓↓↓
スポンサーリンク

脅迫メールに正しいパスワードが書かれていた!!「緊急対応! あなたの心の安らぎの問題」

セキュリティ関係
最近出回っている脅迫メールについて書きましたが

⇒緊急対応! あなたの心の安らぎの問題【迷惑メール】

同じメールが個人用のメールアドレスにも届きまして。

まったく同じ文面なのですが、驚いたのは

「私はあなたの情報を握っています。あなたのパスワードはこれでしょ?」

と、なんと、私が普段使っているパスワードが書かれていたのです!Σ( ̄- ̄; )

でも大丈夫、メールアドレス(アカウント)に使われているパスワードではありませんでした。(残念でしたね。)

実は、いくつか、段階ごとに強度の異なるパスワードを使用するようにしていまして。

お金を扱うような重要なものほど複雑なパスワードにしてあります。

どうでもいいニュース配信などの登録には、ごく簡単なものを(それでも「パスワード辞書※」に乗っていないものを選んで)使っていますが。

※パスワードクラックに使うための、一般的によく使われるような単語が乗っているリ辞書(リスト)というのがあります。インターネットで検索すればすぐに見つかると思いますが。

パスワードクラックをするのに、コンピュータで存在しうる組み合わせを全て、一つずつトライする手法(ブルートフォース)がありますが、パスワードに一般的な単語を使っている人も多いため、辞書に載っているワードからトライしていくと、結果が早く出る事があるわけです。(辞書攻撃とも言います。)

LINUXには最初からそのような辞書が組み込まれており、辞書に載っている単語をパスワードに使おうとすると警告が出る。(通常、/usr/share/dict/linux.words にあり、40万個ほどのwordが詰まっている。)さらに、ネットで検索すると、もっとマニアックな辞書が簡単にダウンロードできます。

完全にランダムな単語でない、何らかの単語をパスワードに使用して居る方は、そのような辞書に自分が使っている単語が載っていないか確認してみたほうがよいかも知れませんよ?

☆私が以前使っていたパスワード(レベル1)は、これには載っていませんでしたが、こちらには載っていました・・・( ̄- ̄;)(ので、もちろん変えました。)

単語ではない、完全にランダムなパスワードを使っている人は、あまり多くはないのではないかと予想していますが(憶えられませんからね)

仮に、完全にランダムな文字列であっても、短いと総当たりでクラックできてしまいます。

https://howsecureismypassword.net/で試してみれば分かりますが、英文字のみの8文字のパスワードは総当たりでトライしても、現在のコンピュータの能力なら5分しかかかりません。

大文字と小文字をまぜても22分

それに数字を追加すると2時間

記号を追加しても9時間・・・

8文字ではどうがんばっても9時間以上伸ばせませんね。

しかし、英文字大小・数字・記号を含めて9文字に増やすと一気に4週間になります。(それでも4週間あればクラックできてしまうわけですが)

英文字小文字のみだと13文字まで増やして2年とでますね。

英文字大小・数字・記号すべてを含めると11文字で400年まで伸びます。

パスワードは、使用する文字の種類をできるだけ多くし、11文字以上であればかなり安全と言えるわけですね。

さて、話は脅迫メールに戻りますが。

そんなパスワード・レベル1(どうでもいいサイト用、それでも英文字+数字で8文字)ですが、それが、件の脅迫メールの中に載っていたわけです。

これってつまり、ランダムで当たるわけがないので、キーロガー(入力した文字を記録するソフト)を使って、どこかでパスワードを盗まれたのかも知れない・・・

あるいは、そのパスワードとメールアドレスの組み合わせで登録しているどこかのレベル1サイトが、脅迫業者にクラックされたのかも知れないが。

キーロガーかと思ったけれど、後者かもしれないなぁ・・・

このメールアドレスとパスワードの組み合わせで登録しているサイトだけなら絞り込めるな・・・⇒見てみたら結構あったorz

とりあえず、大変だけど、パスワードは全部変えておくかぁ・・・

これまでのレベル1のパスワードは廃止、今後はレベル2相当のパスワードから使うようにしよう・・・orz

もう一通来た!!orz

今度もパスワードが正解・・・

ただし、今回のは、かなり古い時代に使っていたパスワード(いわばレベル0)でした。。。

このパスワード、確かに昔(7~8年前頃まで)使っていましたが、近年はまったく使っていないので、やはり、古い登録情報が、どこからから流出したと見るべきでしょうね。

・・・どこだ???と言っても分からんか(^^;)
「ポルノ閲覧の姿をさらす」とユーザー脅迫、パスワード記載で信ぴょう性を高める
脅迫メールは被害者が実際に使っていたパスワードを冒頭に記載して、信ぴょう性を高めようとしているという。…
www.itmedia.co.jp

↑の記事には

犯人は大手のWebサイトから過去に大量流出したデータを利用して、個々のユーザー名とパスワードの情報を引き出し、それを使って脅迫メールを送り付けているのではないかとKrebs on Securityでは推測している。
と書かれていますね。

なるほど。。。

古いパスワードは、どこかから流出した事があるってことかぁ・・・

やっぱり、パスワードは定期的に変える必要があるということですね。(変えておいてよかった)

もし、自分のパスワードが書かれていた人は、どこかで流出したサイトのデータに含まれていたということですから、直ちにパスワードを変更しましょう。

同じパスワードをすべてのサイトで共通で使っているような人も、やめたほうが良いですよ。

From:******@****.co.jp
To:******@****.co.jp
Subject: 緊急対応! あなたの心の安らぎの問題。

こんにちは! あなたは私を知らないかもしれませんし、なぜあなたはこの電子メールを受け取っているのだろうと思っていますか? この瞬間、私はあなたのアカウント(******@****.co.jp)をハッキングし、そこからメールを送りました。 私はあなたのデバイスに完全にアクセスできます! 今私はあなたのアカウントにアクセスできます! たとえば、******@****.co.jpのパスワードは[パスワード]です 実際に、私は大人のvids(ポルノ資料)のウェブサイトにマルウェアを置きました。あなたは何を知っていますか、あなたはこのウェブサイトを訪れて楽しんでいました。 あなたがビデオクリップを見ている間、インターネットブラウザはRDP(Remote Desktop)として動作するようになりました。 それは私にあなたのスクリーンとウェブカメラへのアクセスを提供するキーロガーを持っています。 その直後に、私のソフトウェアプログラムはあなたのメッセンジャー、ソーシャルネットワーク、そして電子メールから連絡先全体を集めました。 私は何をしましたか? 私は二重スクリーンビデオを作った。 最初の部分はあなたが見ていたビデオを表示しています(あなたは良いと奇妙な味を持っている)、2番目の部分はあなたのウェブカメラの記録を示しています。 まさにあなたは何をすべきですか? まあ、私は$ 700が私たちの小さな秘密の公正な価格だと信じています。 あなたはBitcoinによる支払いを行います(これはわからない場合は、Googleの「ビットコインの購入方法」を検索してください)。 私のBTC住所: 1PZJi9aF*qWn2xRLG*yik2bY8N*9iZ3FJj (それはcAsEに敏感なので、コピーして貼り付けてください) 注意: お支払いを行うには2日以内です。 (この電子メールメッセージには特定のピクセルがあり、この瞬間にこの電子メールメッセージを読んだことがわかります)。 私がBitCoinを手に入れなければ、私は間違いなく、家族や同僚などあなたのすべての連絡先にビデオ録画を送ります。 しかし、私が支払いを受けると、すぐにビデオを破壊します。 これは非交渉可能なオファーですので、このメールメッセージに返信して私の個人的な時間を無駄にしないでください。 次回は注意してください!より良いウイルス対策ソフトウェアを使用してください! さようなら!
添付ファイル:  なし

ちなみに自宅ではノートパソコンを使っていますが、ノートパソコンには殆どの場合、カメラが標準装備になっていますね。もしウイルスに感染した場合、このカメラを使って撮影された画像が流出してしまう可能性があるわけです。

でも大丈夫!私のノートパソコンのカメラには、ガムテープが貼り付けて使えないようになっているのでした(笑)

以前、そのようなウイルスが流行った時に、詳しい方の助言で対策しました。

まぁ、恥の多い人生でしたので、ポルノサイトを見ている画像が流されたとしても、いまさら困る事もないような気もするのですが・・・(笑)

別に画像流されて困ることはないが、パスワードが漏洩しているのは困る。

とりあえず、古い登録情報を全部洗い直して、レベル1のパスワードを使用しているところはレベル2に格上げだ~(意外と大変そう・・・)

コメント