あなたの個人用メールアカウント、業務用メールアカウントの両方に、日々多くの迷惑メール(スパムメール)が送られています。多くは「お金をプレゼントします」「無料でお金儲けの秘訣を教えます」「若い女性です。出会いましょう」といった内容で、最終的にはお金を支払わせようとするか、個人情報を取得しようとする詐欺的なメールです。
「こんな迷惑メールに引っかかることはないよ」と思っている方も、こうした迷惑メールを大量に送り付けている業者が、あなたのメールアカウントだけでなく、パスワードも持っているかもしれないとしたら、驚くのではないでしょうか。以下では、迷惑メール業者と「スパムボット」についてお伝えいたします。
スパムボットとは
2014年のEmailに関する調査では、発送される全てのEmailのうち、87.1%から90.2%が迷惑メールであることが確認されています。調査によると、四半期ごとに数兆通のメールが発送されていることから、1年間で十数兆通以上のメールがやり取りされ、そのほとんどが迷惑メールです。
迷惑メール業者は、極めて大量の迷惑メールを日々送付して詐欺行為を行っていますが、さすがに自分の手でメールアカウントを一から調べて迷惑メールを送るのでは追いつきません。そこで登場したのが、スパムボット (Spambot) です。これは、迷惑メールを意味する「Spam (スパム)」と「Robot (ロボット)」の造語で、「迷惑メール送信用のメールアドレスを自動収集するプログラム」を指しています。
スパムボットの仕組みは、検索エンジンのクローラーをイメージしていただければ分かりやすいです。インターネット上のあらゆるサイトにアクセスし、コンテンツを分析して検索結果表示するのが検索エンジンクローラーですが、「クローラーと同じようにインターネットのあらゆるサイトにアクセスするが、メールアドレスの取得のみを行う」のがスパムボットです。
そしてスパムボットが取得した大量のメールアドレスは自動的にデータベースに追加され、これらのアドレスに向けて大量の迷惑メールが送られるという仕組みです。
ホームページで、メールアドレス部分だけをテキストではなく画像で表示したり、メールアドレスのアットマーク部分をあえて「あっと」とひらがな表示したりするのは、こうしたスパムボットにメールアドレスを取得されることを防ぐために行われています。
メールアドレスと漏えいパスワードがマッチされ流通
HIBPというサイトでメールアドレスの漏えいを確認できる
スパムボットが日々収集しているメールアドレスが「迷惑メール送付専用」で使われているのであれば、まだリスクは低いと言ってよいかもしれません。「遺産を100億円あげるから、手付金として100万円払ってください」といった迷惑メールの詐欺的な内容に騙される人は大変少ないからです。しかし、スパムボットが収集したメールアドレスは「サイバー攻撃により漏えいしたIDパスワード情報」と結びつけられるとやっかいになります。
スパムボットが保管する大量のメールアドレスと、漏えいしたIDパスワード情報がマッチされると、スパムボットのメールアドレスにパスワードを紐づけて総当たり攻撃を仕掛けやすくなります。実際にスパムボットが作成したリストについて調査を行ったTroy Huntというブロガー(マイクロソフト オーストラリア所属)は、7億1100万件ものアドレスが闇ルートでやり取りされている証拠をつかみます。
このブロガーは、こうして取得したメールアドレスを検索可能にすることで、「自分のメールアドレスが流出したか、していないか」「流出した場合、どのルートで流出したか」が分かるようにしています。実際、本記事の執筆者もHIBP (Have I been Pwned?) というサイトで個人用のGmailアドレスが流出したかどうかを確認したところ、驚いたことに3箇所から漏えいが確認されました(上記画像。流出元はLast.fm、Linkedin、Tumblerでした)。
パスワードを使い回さない仕組みの導入が最重要
まず、上記のHIBPサイトであなたのメールアドレスを検索してみましょう。そして、メールアドレスの流出が確認されたら、そのメールアドレスを利用して登録している各種サービスのパスワードを今すぐ変更しましょう。
そして、次回はどうすればスパムボットや情報漏えいから情報を守ることができるか考えてみましょう。もしあなたのパスワードが流出したとしても、パスワードを使い回していなければ、流出元のサービスしか影響がないはずです。私たちがパスワードが流出すると慌ててしまうのは、「パスワードを複数のシステム、サービスで日常的に使い回している」からです。
理想的には、「システム・サービスそれぞれごとに、別の複雑なパスワードを準備」すべきです。しかしながら、8桁や12桁の無意味な文字列、そして英大文字、小文字、数字、記号を含めるとなると、到底すべてを記憶しておくことは困難です。このため、「同じパスワードの使い回し」や「パスワードを少しだけ変えた『そっくりさんパスワード』の使い回し」が起こっています。特に企業においては、個人とは桁が違う情報量や金銭的な影響があるだけに対策が必要です。
企業が取り組むべきは、全く逆の発想です。「ユーザーに1つの非常に複雑なパスワードを与えて、このパスワードを使ってあらゆるサービスにシングルサインオンする仕組みを提供する」のです。この仕組みはIDaaS (Identity as a Service: クラウド型IDパスワード管理サービス)と呼ばれ、現在世界のIDパスワード管理の主流となっています。
例えば、AというユーザーがB, C, Dというクラウドサービスを利用していたとします。システム管理者はIDaaSログイン用の複雑なパスワードだけをユーザーに提供し、B, C, DのパスワードをIDaaS上で登録してしまいます。つまり、ユーザーAはIDaaS用のパスワード走っているが、クラウドサービスB, C, Dのパスワードをあらかじめ知らされていないのです。
しかし、IDaaS用のパスワードを使うことで、登録されたクラウドサービスへのログインが簡単に完了するため全く問題が起こりません。IDaaS事業者は預かったパスワードを暗号化して管理しているため、万が一パスワードの漏えいした場合でもパスワードの解読は不能です。
弊社が提供している、アカウント数無制限、アプリ数無制限で無料で利用できるIDaaS製品「トラスト・ログイン」もその一つです。企業で使われているアプリがほぼ網羅されているだけでなく、自社システムのシングルサインオンを実現するためのテンプレートも提供されているため、クラウドサービスへのログインだけでなく、社内システムへのログイン用としても利用することができます。ぜひ一度お試しください。