KDDIメアドとパスワード流出で最悪どうなる?対処法

スポンサーリンク

「@niftyのパスワードを変えてください」というお知らせが届いて、戸惑った人が多いです。

今回の不正アクセスで狙われたのは、KDDIが使うISP事業者向けメールシステムです。最大1422万件のメールアドレスとパスワードが漏れた疑いが出ています。気になるのは「流出したら最悪どうなるか」ですよね。

結論から言うと、今回の流出物にクレジットカード番号は含まれません。とはいえ、放っておくと別の被害が出てくる。

この記事では最悪どんなことが起こるか、対象かどうかの調べ方、期限内の変更手順までを整理します。

スポンサーリンク
  1. メールアドレスとメールパスワードが漏れると最悪どうなる
  2. 不正アクセスで対象になるISPと確認のしかた
  3. パスワード無効化の前にやる変更手順
  4. 便乗フィッシングと偽の漏洩確認サイトに注意
  5. まとめ

メールアドレスとメールパスワードが漏れると最悪どうなる

先に大事な点を言います。今回漏れた可能性があるのは、メールアドレスとメールパスワードです。クレジットカード番号そのものは入っていない。だから「カードがすぐ不正に使われる」という話ではありません。

本当に怖いのはパスワードの使い回しです。そこが本丸。同じパスワードを銀行や通販でも使っていると、そこへ次々ログインされてしまう。メールの分が漏れただけなのに、別のサービスまで芋づる式に入られることになる。

さらに、メールアカウントそのものを乗っ取られると話は重い。多くのサービスは、パスワードを忘れたとき登録メールへ再設定リンクを送ります。そのメールを読まれると、他のサービスのパスワードまで作り直されてしまう。

もう一つはなりすましです。あなたのアドレスを踏み台にして、知り合いへ迷惑メールやフィッシング(だましメール)が送られることもあります。被害が自分の外へ広がっていく。

不正アクセスで対象になるISPと確認のしかた

原因について、KDDIは第三者製ソフトウェアの脆弱性(外部ソフトの弱点)が悪用されたと発表しています。狙われたのはメールの基盤側だった。スマホの回線そのものが破られたわけではありません。

対象は、ISP事業者向けメールシステムを使うサービスです。具体的には次のところが案内を出しています。

  • @nifty(ニフティ)のメール利用者
  • BIGLOBE(ビッグローブ)のメール利用者
  • J:COM NETの利用者
  • コミュファ光(中部テレコミュニケーション)の利用者
  • ピカラ光(STNet)の利用者
  • CPI(KDDIウェブコミュニケーションズ)の利用者

間違えやすいのが「自分はauやUQ mobileだから関係ない」という思い込みです。今回はスマホ回線ではなく、ISP向けのメール基盤が狙われました。回線の種類だけで「無関係」と決めないほうがいい。

確認は各ISPの対象メールアドレス確認ページでできます。自分のアドレスが漏洩の対象に入っているかを照会する形になる。すでに解約した人や、しばらく使っていない休眠アカウントも気をつけたい。当時のメールアドレスが対象に残っている場合があります。

パスワード無効化の前にやる変更手順

ニフティの場合、変更の期限が決められている。6月25日23:59を過ぎると、パスワードが順次無効化される。やることは多くないので、順番に並べます。

  1. 契約しているISPの公式サイトへ直接アクセスする
  2. 対象メールアドレス確認ページで、漏洩の対象か確認する
  3. 対象なら、案内の手順どおりにメールパスワードを変更する
  4. メールパスワードとログインパスワードが同じなら、両方の変更が必要か確認する
  5. 同じパスワードを使い回している他サービスも、全部変える

ポイントはメールパスワードとログインパスワードの関係です。この2つが同じだと、片方を変えただけでは弱いことになる。両方を別々の文字列にしておくと安心できます。

そして使い回しの後始末が一番大事になる。銀行や通販、SNSなどで同じパスワードを使っていたら、そこも順番に変えていく。今回のメールパスワードだけ直しても、他が同じままだと穴が残ります。

便乗フィッシングと偽の漏洩確認サイトに注意

こんなメールが届くことになる。「あなたのアカウントが漏洩しました。今すぐここで確認を」。一見、公式の案内に見える。でも、そのリンクの先が偽サイトという手口があります。

偽サイトはIDやパスワードを入力させて盗むのが目的です。入力した瞬間、本物の情報が相手に渡ってしまう。だからメール内のリンクや、検索結果の広告からは入らないほうがいい。

安全なのは、各ISPの公式サイトをブラウザで自分で開く方法です。ブックマークや、公式アプリから入るのも確実になる。一次情報はKDDIの報道発表と、@nifty会員サポートで確認できます。迷ったら、まずここを見てほしい。

まとめ

今回の件は「カード被害」より「ログインの連鎖」が本丸です。要点を3つに絞ります。

  • 結論:今回の流出にクレカ番号は含まれない。怖いのはパスワードの使い回しで、別サービスへ連鎖ログインされること
  • 次にやること:契約ISPの対象メールアドレス確認ページで該当を照会し、期限内にメールパスワードを変える。同じパスワードの銀行・通販なども全部変える
  • 覚えておくこと:auやUQだから無関係とは限らない。解約済み・休眠アカウントも要確認。偽の漏洩確認サイトとフィッシングは無視して、公式サイトから直接たどる

@niftyやBIGLOBEなど対象ISPの確認ページでメールアドレスを照会し、メールパスワードとログインパスワードを期限内に変えるところまでが、今回の不正アクセスへの対応です。

カズ

カズ

2017年からSNSテクニックを運営。Webメディア運営歴は15年超。

「それ、自分も引っかかりそうだった」をきっかけに、フィッシング詐欺や迷惑メールの見分け方を発信し始めました。実際に届いた詐欺メールは送信元情報まで調べてから記事にしています。

SNSの使い方記事は、アプリの仕様変更があるたびに再検証して更新中。情報の裏取りはサービス公式・フィッシング対策協議会・警察庁の公開資料で行っています。

※当サイトの情報は公開資料と実機検証に基づいていますが、最新の状況と異なる場合があります。詐欺被害に遭われた場合は、警察消費者ホットライン(188)にご相談ください。
pocketlinehatebuimagegalleryaudiovideocategorytagchatquotegoogleplusfacebookinstagramtwitterrsssearchenvelopeheartstaruserclosesearch-plushomeclockupdateeditshare-squarechevron-leftchevron-rightleafexclamation-trianglecalendarcommentthumb-tacklinknaviconasideangle-double-upangle-double-downangle-upangle-downstar-halfstatus
タイトルとURLをコピーしました