お疲れ様です。
しらせです。

皆さんはまだメール使っていますでしょうか？
昨日、ちょっとした気分転換を兼ねて外出した際にプライベートで使っているフリーメールの乗っ取り被害に遭いかけました。

実際には被害には遭っていなかったのですが、メールの仕組み上どうしても避けることのできない仕様もあります。
少しでも安全にメールを使うために起きた事をまとめておこうと思います。

もくじ

海外IPからの知らぬアクセスが…

コロナ禍が収まらない中、7月の4連休に突入しました。
梅雨も明けて日差しが日増しに強くなってきましたね。

久しぶりの連休という事でコロナも考えて夫婦そろってマイクロツーリズムに行ってきました。
自転車で数十分で行けるビジネスホテルに滞在して、ゆっくりした時間を満喫していた時の話です。

18時過ぎにチェックインしつつ、ホテルのWi-Fiに接続してネットを楽しみながら19時には近場のラーメン屋に行ってきました。

昼間は炎天下の中を歩き回ってきましたので、お腹いっぱいで夜はホテルの涼しい部屋とベッドで疲れを感じていました。

そして何気なくスマホでメールを見ていると…

！！？？！！

ログインアラート？
アメリカ？！
なぜ！？

混乱しながら凄まじい勢いでいろんな可能性が頭の中で巡っていました。

「私が管理しているアカウントのパスワードは全て24文字以上で半角英数字記号を含んでいるはず。」
「そして今はもう使っていないアカウントも含めて6つも同時に。。。」
「いつものフィッシングメールでは？」
「パスワードアタックされたか？アカウントロックされてない？」
「パスワードがどこからか漏れたか？」
「Wi-Fiのセッション取られたか？」
「ヤフーメールのバグか？」

Webショッピングなどの注文確定メールに住所書いて送ってくるサイトもあるし、マスキングされたクレジットカード番号なんかも受信メールに残ってるし。
全てのメールが持っていかれたと思うと本当にショックでした。

落ち着いて止血

もう起きてしまったことは仕方ない。

ここからはインシデントレスポンスの開始です。
せっかくの休日が。。

1.影響の確認

まずは何をされたかを正しく確認しなければ始まりません。

一通り考えが巡り終わったところで、まずは事実確認をするためにヤフー公式サイトからログインしてログイン履歴を確認することにしました。

送られてきているログインアラートメールはフィッシングの可能性がありますので無視しました。
そのうえで、対象のメールアドレスで公式ページにログインしてメールソフトからのログイン履歴を確認しました。

「やっぱりある。」
「本当に不正ログインされてる。」

メールって通常はIDとパスワードでしか認証が出来ないので、簡単なパスワードを設定している方は本当に注意です。

なお、ヤフーメールやヤフーのサービスへのログイン履歴は以下のURLから確認ができました。
※後で気づいたのですが、ここで致命的な事にサービス側のログイン履歴を見ることを見落としています。
　併せてこちらも確認していたらもっと早く気づけたかもしれません。

（参考）メールソフト ログイン履歴 - lhmail.yahoo.co.jp
https://lhmail.yahoo.co.jp/
（参考）ログイン履歴 - lh.login.yahoo.co.jp
https://lh.login.yahoo.co.jp/

2.パスワードリセット

これ以上メールを不正に見られたくないというの気持ちが先行していました。

ただ、不正ログイン被害がサービスにまで及んでしまうとパスワードを変更され、最悪の場合アカウント自体を乗っとられてしまう可能性があります。

ログインアラートが来ている6件のアカウント全てについて急いでパスワードを初期化しました。
もちろん、半角英数字記号を入れた12文字以上の複雑なものに。

めちゃくちゃ骨が折れました。。

3.メール設定変更

パスワードの変更だけでは同様の攻撃を防げません。
ヤフーメールの設定オプションをいくつか見直しました。

3-1.海外からのアクセス禁止

海外へ行くことのないコロナ禍の今、海外からのアクセスの必要性はありませんので無効にしても問題ありません。
これ以上の被害防止のため日本国内からのアクセスに制限します。
これでアメリカからのアクセスもできなくなるだろうと。

3-2.IMAP/POP/SMTPアクセスの制限

通常ヤフーメールは、ブラウザやYahoo!アプリ以外からも、Microsoft OutlookやiPhone/Androidのメーラーなど、様々なアクセス方法があります。

アクセス方法が多様であるということはIDとパスワードさえ分かっていればどんな環境からでも利用ができるという事です。
一旦は標準的なメーラーからのログインをブロックするために「Yahoo! JAPAN公式サービスを利用したアクセスのみ有効にする」に制限しました。

当たり前ですが、これをしてしまうと自分のスマホからもメールが見れなくなりました。
翌日自宅に帰ってPCで詳細を確認するまでの辛抱です。。。

原因が判明

もし本当にパスワードが漏洩していたら、、はっ！
妻が持っているアカウントは大丈夫なのか？！
急いで妻にも確認します。

俺「ログインアラートメール来てない？！」
妻「来てる」
俺「マジか..」

とりあえず同じよう止血をしてもらいました。
そして同じ事象の人がいないかツイッターを見ていると。。。

うーん。騒いでるの…うちらだけだな？

「ログインアラート」でツイッターを検索しても数日前にちらほらあるだけで、大騒ぎになっている様子もありません。

そこでふと思い出しました。

特定のISPは海外IPを割り振られるケースがあるような？

恐る恐るホテルのWi-Fiから現在ホテルのルーターに割り当てられてるIPアドレスを確認してみると。。。

（現地での実際のキャプチャです）

おまえかあああああああああｗ

今日は妻とゆっくりしたかったのでノートPCも持ってきてなかったんですよね。
なのでtracerouteも打てないしこれ以上詳しい調査は出来なかったです。
※とりあえずホテルのルーターがYAMAHA製だというのは分かりました。（だから何？）

という事でホテルのWi-Fiに繋いだ後で、スマホからホテルのルーターを経由してメールサーバにアクセスした際に、どういうロジックかIPアドレスがアメリカ判定されたのでしょう。

確かにスマホの標準メーラーに全てのアカウントを登録してあるし、アラートの時刻もチェックイン時に初めてホテルのWi-Fiに繋いだ時刻です。
辻褄があいます。（ログイン履歴の時刻が変なのはなぜだ？）

肩の力が抜けてどっと疲れが出ました。

乗っ取りでもパスワードの漏洩でもなくて安心はしましたが、、、
せっかくの休日なのにこんなハプニングに巻き込まれるとは。災難でした。

グローバルIPアドレスの確認は以下のサイトを利用させていただきました。
（参考）ExpressVPN DNSテストセキュリティツール - www.expressvpn.com
https://www.expressvpn.com/jp/what-is-my-ip

その他、もしもの際の手順が公式からも出ております。
（参考）「メールソフト ログイン履歴」で不審なログイン履歴を見つけたら - support.yahoo-net.jp
https://support.yahoo-net.jp/PccMail/s/article/H000011487

以上
おつかれさまでした。

いいね！0

View:3285 Tweet この記事をツイート！