メールアカウントが乗っ取られたときは迅速な対応が必要です。対応が遅れるとあなたのアカウントにログインできなくなり、攻撃者にアカウントを自由に操作されます。
攻撃者にメールアドレスを自由に操作されると、あなたの個人情報だけではなくアドレス帳に登録されている個人情報を盗まれたり、その人達への攻撃にも発展することも多いです。
さらに、乗っ取られたメールアカウントを使って登録しているサービスの情報を盗まれてしまう、クレジットカードを不正利用されてしまうなどの被害にもつながるため「メールアカウントの乗っ取りかも?」と思われるような怪しい操作があれば一刻も早い対応を心がけましょう。
アカウントを乗っ取られたかどうかの確認方法や、乗っ取られていたときの対応について説明しているので、この記事を読みながら一つひとつ落ち着いて対応してください。
目次
メールアカウントの乗っ取り被害かも?と思ったら確認するべき5つのポイントと対策
メールアカウントを乗っ取られた可能性がある場合に、確認すべきポイントを5つ説明します。
まだ乗っ取られたと確定したわけではないので、この項目で乗っ取られたかどうか確認し、乗っ取られている場合には適切な対処をしましょう。
1. メールの送信者は知っている人か
まず、メールが誰から送られているかをメールのタイトル、アドレス、本文などから確認しましょう。以下のような特徴を持っているものは迷惑メールと考えられます。
- 送り主の名前がわからない
- アドレス帳に登録されていないアドレスからの送信されている
- 知っている企業名の利用中のサービス名は入っているが、いつも送られてくるアドレスと異なる
- 日本語に違和感がある
これらの特徴を持つメールが送られてきたときは迷惑メールの可能性が高いです。この段階ではまだメールアカウントが乗っ取られたと断定はできません。
迷惑メールが届いた原因として考えられるのはアカウントの乗っ取りではなく、あなたのアドレスの情報流出です。登録したサービスやWebサイトなどからあなたのアドレス情報が流出した可能性はありますが、メールアカウントを乗っ取られたときほどのリスクではありません。
落ち着いてメールアドレスの変更やパスワードの変更、フィルタで迷惑メールを受信しない設定にするなどの対応をとりましょう。
メールに書いてあるURLにアクセスしない
乗っ取りかもしれないと思わせるメールには、多くの場合URLの記載があります。このURLには決してアクセスしてはいけません。
アクセス先が詐欺サイトだったり、自動的に何か不正なものに登録するURLであったりすることが考えられます。不審なメールは可能な限り開かない、開いてしまったとしてもURLにはアクセスしないことを徹底してください。
仮にURLを開いてしまったとしても、アクセス先では絶対に個人情報を入力しないようにしましょう。
有名サイトに似せたサイトを表示し、IDやパスワード、クレジットカード情報を入力させて個人情報を盗む手法は詐欺サイトのよくある手口です。
万が一IDやパスワードを入力してしまったら、即座に正しいサイトにアクセスしIDやパスワードを変更してください。
クレジットカード情報を入れてしまったときは、すぐにクレジットカード会社に連絡をしてカードの利用停止処理を依頼しクレカの不正利用を防ぎましょう。
2. PCやスマホがウイルスに感染していないか
急に迷惑メールが頻繁に来るようになった、怪しいメールのURLにアクセスしてしまったなどの場合、PCやスマホにウイルスが感染してしまった可能性があります。このときはPCやスマホのウイルスチェックを実施しましょう。
PCやスマホがウイルスに感染したままだと、他のアドレスが乗っ取られたり、PCやスマホから直接情報を盗まれたりする可能性があります。
セキュリティソフトでウイルス診断をしてPCやスマホにウイルスが感染していないとわかった段階で、メールアドレスの変更やパスワードの変更などの対策を実施しましょう。
3. 自分は正しくログインできるか
メールアカウントが乗っ取られたかもしれないときに、アカウントにあなたがログインできるかを確認することも重要です。正しいアドレスとパスワードなのにログインができない場合、アカウントの乗っ取り被害にあった可能性が高いと考えられます。
乗っ取り被害にあうと、あなたのアカウントを乗っ取った人(攻撃者)はあなたのメールアドレス、アドレス帳を自由に操作できるため非常に危険です。一刻も早くメール運営会社やメールサーバーの管理部門に連絡をして、適切な処理を依頼しましょう。
4. 不正なログイン履歴がないか、不正な操作がされていないか
ログインができる場合には不正なログイン履歴がないか、不正な操作がされていないかを確認しましょう。あなたではないログイン履歴が残っていたり、あなたが実施したものではないメールの送信やサービスへの登録があれば、メールアカウントの乗っ取りが疑われます。
この場合もメールを運営している企業に連絡をして乗っ取りにあったことを伝え、必要な処理をしてもらいましょう。
5. 他社(他者)に迷惑をかけていないか
自分のアカウントが乗っ取られた場合、以下のような被害が発生します。
- 乗っ取られたメールで利用中のサービスからさらに情報を盗まれる
- メールの内容を盗み見られて企業間の機密情報が流出する
- 登録されているアドレスに迷惑メールを送信される
あなたのアカウントが乗っ取られると、自身の情報が漏えいするだけでなく企業間の機密情報を盗まれたり、迷惑メールを送信されたりと外部の人に迷惑をかけてしまう可能性があります。
そのため、アドレス帳に登録している人やメールでやり取りをしていた人に事情を説明することも重要です。なるべく早めに口頭や電話で連絡をしましょう。
このとき別のアドレスから連絡することも考えられますが、一度迷惑メールを受信している相手はあなたの名前で届くメールに不信感を持っているかもしれません。可能な限り口頭や電話で事情を説明するのが望ましいでしょう。
不正なクレカ利用や商品購入にも注意する
メールアドレスが乗っ取られたときは、クレジットカードを登録しているような決済サービスやショッピングサイトなどに注意が必要です。
乗っ取られたメールアドレスを利用して、他のサービスからあなたの個人情報やクレカ情報を盗んだり、他のサービスを利用されたりすることが考えられるからです。
アドレスが乗っ取られたら不正なクレジットカード利用や商品購入がないかをよく確認するとともに、それらのサービスで利用しているアドレスとパスワードを迅速に変更しましょう。
アドレスの乗っ取りを防ぐための対策
乗っ取られたアドレスの対応が落ち着いたら、他のアドレスが今後乗っ取られないための対策をとりましょう。
不審なURLや添付ファイルを開かない
不審なURLや添付ファイルは決して開いてはいけません。これらのURLやファイルを開くと以下のような被害に遭う可能性があるからです。
- ウイルスに感染するアプリをダウンロードされPCやスマホを覗き見られたり勝手に操作される
- 不正なサービスに登録され、覚えのない請求が行われる
- フィッシングサイトにアクセスしてワンクリック詐欺に巻き込まれたり個人情報を盗まれたりする
最近の迷惑メールはタイトルだけでは正しいものか迷惑メールなのか判断しにくいものがあります。そのため、仮にメールを開いてしまっても、URLへのアクセスや添付ファイルのダウンロードは決して行わないようにしましょう。
強固なパスワードを設定し使い回さない
パスワードを設定するときには記号、英大文字小文字、数字を複数組み合わせた最低でも8文字以上の強固なパスワードを設定しましょう。
簡単なパスワードや推測されやすいパスワードは、手当たり次第に文字を入力する総当たり攻撃というサイバー攻撃で簡単に突破されてしまいます。
また、今の時代はメールアドレスを複数持ち、いろいろなWebサービスを利用することも普通のことですが、パスワードを使いまわしてはいけません。パスワードを使いまわしてしまうと、ひとつのサービスのIDとパスワードが流出した場合に、被害が拡大するからです。
強固なパスワードをサービスによって使い分けることで本当の意味でパスワードが機能するようになります。
ログイン時に2段階認証を設定する
ログイン時に2段階認証を設定することも重要です。2段階認証とは、ログイン時に通常のIDパスワードの他に、事前に登録した連絡先へ送られる一時的なパスワードを利用する認証方法です。
この認証方法を利用すればIDパスワードが万が一流出した場合でも、2段階認証用の一時的なパスワードが送られる別の連絡先を確認できなければ不正にログインされません。
さらに自分がログインしていないのに、認証用のパスワードが送られてきたらあなた以外の誰かがログインを試みたことに気づけます。この段階でIDとパスワードが流出している可能性を考え、IDやパスワードの変更ができるためより安全なアカウント運用ができます。
定期的にウイルスチェックを行なう
PCやスマホがウイルスに感染しているとアカウント情報が流出したり、その他の情報が盗まれたりする可能性があります。そのため、定期的にウイルススキャンを実施してPCやスマホが安全な状態にあることを把握しておきましょう。
最近のPCは標準装備のウイルスセキュリティソフトも常備されています。標準装備のウイルスセキュリティソフトでも適切にウイルス検知できるものであれば問題ないため、ウイルススキャン機能を常時オンにしておくことが重要です。
【企業向け】WEBサイトをお持ちの企業は迷惑メールを送っている恐れあり・・・
ここまでは、メールアドレスを乗っ取られた被害者の立場に立って、対処方法を説明してきました。
しかし、Webサイトをお持ちの企業は、自社のサービスが知らずしらずのうちに加害者(迷惑メールの送信者)になっている可能性があります。
迷惑メールの多くは企業のメールフォームから送信されていることをご存知でしょうか。その原因は、メールヘッダーインジェクションというWebサービスの脆弱性を利用され攻撃されたことによって起こるものです。
サービス利用や資料請求、問い合わせなどのために設置しているメールフォームに脆弱性があると、そのメールフォームを踏み台にして攻撃に利用されてしまいます。
この攻撃が行われると、あなたがお持ちのサイトを不正利用して大量の迷惑メールが送信されることになります。
また、この攻撃をきっかけとして脆弱性があるサービスだとわかれば、他の攻撃の対象になることもあるためサービスに脆弱性を残さないことが重要です。
自社サービスが加害者にならないための対策
自社サービスが加害者にならないためには脆弱性をサービスから取り除くことが必要です。
たとえ自社が行った攻撃ではなくても、攻撃の踏み台に利用されたことが発覚すれば企業やサービスへの信頼が損なわれかねません。
企業が信頼を失えば取引先との契約に影響が出たり、利用者が減少したりする可能性があります。このような事態になる前にサービスの脆弱性の対策をすることは企業の責任です。
自社サービスに脆弱性があるかわからないという場合には、無料で脆弱性の有無を確認できる当社サービス「secuas」を利用ください。簡単な情報を入力するだけで脆弱性があるかどうかを無料で診断します。
他社やユーザーに迷惑をかけない健全なサービスの運営をするために、定期的な脆弱性の対策をしましょう。
