とある出勤前の朝、2/2 8:00頃 奥さんから「なんかSkypeでスパムが来ているよ?」と報告を受ける。自身のSkypeをみてみると確かに、私のアカウントのコンタクトにあるアカウントに、URLのみのメッセージがばらまかれていた模様! やられた涙 ( 万が一、私のSkypeアカウントから不審なURLが送られてきていたら無視してください )

IMG_2872

奥さんのお父様にも送っていたようなので(リテラシーを心配し)、別メールで間違えてクリックしないように連絡し、自分のFacebookとTwitterでもその旨連絡とお詫びを。為す術わからず、また朝で忙しかったのもあり、Skypeのアカウントのパスワードを変更してその日は終了。

ところが、、、

数日後、友人の一人から「まだSpan来ているよ」と連絡が来る。なんとパスワード変更してもダメ?! AccessToken等がそのまま無効化されず利用されているのかなぁ。さらにその方のアドバイスでMicrosoft Accountのページにアクセスし、ログイン履歴を確認してみると、、おお、たしかに海外のサーバー経由で、ちょうど2/2日本時間朝付近にサインイン成功してるよ、、なるほどー

See when and where you've used your account

週末、その方とのやりとりで見つけた窓の杜の記事を参考にして、パスワードの見直しを行いました。

Skypeで勝手にスパムをばらまき!? もしもMicrosoftアカウントが乗っ取られたら

http://forest.watch.impress.co.jp/docs/serial/win10tips/1033064.html

やったことは以下、

  • Skypeのパスワード変更
  • Microsoft Account の二段階認証のアプリ導入&設定
  • Microsoft Account の二段階認証を有効化 (有効化しないといけません)
  • もともとのSkypeのIDでのエイリアスを無効化

Manage how you sign in to MicrosoftSign-in preferencesAdditional security options

手順は窓の杜の記事通りにやればOKなのですが、Microsoft Accountのページの構成が難しいのか? 案外どこで設定をするのかとまどうことが多かったです。どこが悪かったってのはわからないのですが、おそらく設定が深くネストしていて、ぱっと見たときに「高度な」の設定をどこからできるかわからなかったというのが原因かなと思います。すべての人に必要な設定ではないから、という配慮なのだとは思うのですが、逆にこういったセキュリティ関連の設定こそ、初心者にもわかりやすく見通しが良い構成にするべきだとは感じました。

また、びっくりしたのが、その他のサービスのアカウントも一通り見直している最中で、Facebookにアクセスすると「現在使用中のパスワードは、他のサイトで盗まれたものと同じパスワードである可能性があります。」と!

Facebook

Facebookさん、どうやって検出しているんだろうー。すごいなぁ。驚きました。

ちなみに、Skypeのパスワードを切り替えたあと、さらにメッセージが送られていたという連絡があったわけですが、自分のメッセージ送信履歴を見た限り、幸い2/2朝の同タイミングに送信されていました。パスワード変更後、乗っ取られた状態が継続した、というわけではなさそうです。

長いパスワードは覚えるのが大変ですから、どのサービスも2段階認証等、パスワードに頼らない認証方法に対応して欲しいです。

この度はご迷惑おかけしました。みなさんもくれぐれもアカウント管理にはお気をつけくださいませ。