【乗っ取り未遂】以前利用のサイトのパスワードの放置は危険。IDとパスワードがダークWebで公開されていたので慌てて対応

2024年7月10日

先日、突然XからTwitterの「パスワードをリセットしますか？」というメールが。実はこのアカウント、12年前から使わずに放置状態のもので、自分ではパスワードのリセットはしていない。・・・ということは全くの他人がアカウントの乗っ取りを計ったのかも知れません。いや、そうに違いありません。

すぐに自分でパスワードを変更。アカウント名、登録しているメールアドレスも別のものに変更しました。

このメールアドレスですが、2008年から使用していたGoogle Appsの無料版（当時：現在の名称はGoogle Workspace）で、Google Apps７年前に別の有料版に変更したので、ほとんど利用していません。しかし、現在でも有効なままです。

すでに役割を終えたアドレスなので、滅多に使うことなく放置していました。

これはマズいと、久しぶりにログインして、パスワードマネージャーを確認することに。

Google Chromeで画面右上の自分のアカウントのアイコンをクリックし、「鍵アイコン」をクリックするか、Googleのメニューアイコンから「パスワードマネージャー」を開いてもOK.

「パスワードマネージャー」が開いたら「チェックアップ」をクリック。すると「不正使用されたパスワード：55件」との表示。これはヤバい！

「使いまわされているパスワード」も199件。脆弱なパスワードも32件。

当時はパスワードは8桁までしか受け付けていなかったサイトが数多く存在していました。今のような「パスワードマネージャー」は無かったので、パスワードは自分で覚えておかないと不便だったので、使いまわししてしまっておりました。

「パスワードマネージャー」に任せれば、自分でパスワードを覚える必要がないので便利です。また安全性の高いパスワードを自動生成してくれるのでとても便利です。

「不正使用されたパスワード：55件」の詳細を見てみると、登録していたことを忘れてしまっているサイトばかり。各項目の右にある「縦に３つ並んだアイコン」をクリックして「パスワードを表示」させてみると、懐かしい８桁のパスワード。

さっそくパスワードがどのように漏洩してしまっているのかを、下記のサイトで確認します。

https://haveibeenpwned.com

「漏洩された」とされるメールアドレスを記入して「pwned」ボタンをクリックすると、「Oh no – pwned!」（漏洩されている）との結果。

画面上で右クリック。現れるコンテキストメニューで「日本語に翻訳」を選択すれば日本語で表示されます。

「あなたが侵入された侵害」以下にどのように漏洩されているかが表示されます。私の場合、登録していた６つのサイトがハッキングなどに遭い、漏洩してしまっています。

情報漏洩となってしまった６つのサイトに登録していた、私のメールアドレス、ID、パスワードなどが一覧の中の一項目として記載されたリストが、ダークウェブで販売されていたり、公開されてしまっている、という結果です。

実際に、無法地帯である”ダークウェブ”に入って確認してみると、実際に私のメールアドレス、昔に使用していたことがあるパスワードがリストの中に見つかりました。おお怖っ！

無防備なままダークウェブに入るのはとても危険です。私はLinuxのPCで完全防備で入ってきました。

昔に使っていたパスワードで、今は全く使用していないから大丈夫・・・というのは甘い考え。

私のように、昔に登録しておいて使わずに放置していたサイトに、漏洩されているIDとパスワードでログインされたら、住所、氏名、電話番号などの個人情報、場合によってはクレジットカード番号も取得されてしまうリスクがあるわけです。

長年続いているXの場合、セキュリティ対策も進化しており、パスワードリセットに本人確認の手順があったので被害に遭わずに済みましたが。

数千件～数千万件のリストだから大丈夫だと思っていたら、それも甘い考え。

ハッカーは専用のツールを使っています。1万件のリストの中で、私のようにIDとパスワードを変えずに放置して、同じIDとパスワードを、いくつものサイトで使いまわしをしている人が、例えば0.1%しかいなかったとしても、10件が標的になってしまうわけです。