コミュファ光の不正アクセス、変えるのはどのパスワード？

コミュファ光から「メールパスワードを変えて」という案内が届いて、手が止まった人は多いです。変えるのは「～@△△.commufa.jp」のメールパスワードです。Myコミュファのログインパスワードではありません。

「commufa.jpのアドレスのほうなのか、コミュファのサイトにログインするほうなのか」。ここで迷う人がいちばん多いです。今回はそこを切り分けます。

普段そのアドレスを使っていない人や、使い回しが不安な人が、何をどこまでやればいいか分かるように書きます。

コミュファ光の不正アクセスで変えるのはどのパスワードか

結論から言います。今回の対象は「～@△△.commufa.jp」というメールアドレスのメールパスワードだけです。

Myコミュファのログインパスワードは対象外です。インターネットにつなぐための接続設定用パスワードも、今回は関係ありません。ここは変えなくて大丈夫です。

なぜ混同しやすいのか。名前がどれも「コミュファ」「パスワード」で似ているからです。一方で、役割は全部バラバラになる。メールを送り受けするための鍵、サイトにログインするための鍵、ネットにつなぐための鍵、という具合です。

そもそも今回の発端は、KDDIが提供するメールシステムへの不正アクセスです。コミュファ光のメールもこの仕組みを使っていて、対象に入りました。だからメール側のパスワードだけ、急いで変える話になります。

変え方はシンプルです。大事なのは「どこから入るか」になる。届いたメールのリンクからは入りません。コミュファ光の公式サイトを自分で開きます。

個人的にも、こういうときはコミュファ光公式サイトの「お知らせ」から直接たどるのがいちばん安全だと思っています。検索かブックマークで公式を開くところから始めてください。

ただし、ひとつだけ守ってほしいことがあります。案内メールの中のリンクはクリックしないことです。今回の混乱に合わせて、公式そっくりの偽メールが出回りやすい。リンク先で入力すると、パスワードを盗まれます。だから自分で公式を開く、を徹底すれば大丈夫です。

「契約のときに割り振られただけで、一度も使ってない」。そんなcommufa.jpのアドレスを持っている人は多いです。使っていないなら放置でいい、と思いがちになる。でも、そこは変えておいたほうがいいです。

理由は2つあります。1つ目は、休眠アカウントも迷惑メールを送る踏み台にされうるからです。使っていない箱でも、乗っ取られれば他人へのスパム送信に使われます。

2つ目は、パスワードの使い回しです。そのメールパスワードと同じものを、別のサービスでも使っている場合、そっちになりすましでログインされる恐れがある。メールアドレスを使っていなくても、パスワードが共通なら危ないわけです。

むしろ普段使っていないアドレスほど、変更を忘れて放置されやすい。だから今、まとめて手をつけておくと後がラクになります。なお公式は、近いうちに仮パスワードへの強制変更をすると案内しています。

強制変更が来るなら待てばいい、とはなりません。先に手を動かしておく意味があります。やることを整理します。

強制変更は「仮パスワード」へ切り替わるだけです。仮のままでは使い続けられません。結局あとで自分が再設定する流れになる。それなら今のうちに自分で変えておくほうが、二度手間になりません。

偽メールの件名は「KDDIより重要なお知らせ」「アカウントが危険にさらされています」「お支払いの確認が必要です」といったものが確認されています。こういう件名でリンクを踏ませようとしてくる。本物かどうかは、公式サイトの「お知らせ」を自分で開いて見比べれば分かります。

最後に、ここだけ持ち帰れば足ります。

迷ったら、メール内のリンクではなくコミュファ光の「お知らせ」からWebメールへ入り、commufa.jpのメールパスワードを自分で変えるところまでやれば、今回の不正アクセスへの対応は足ります。