池田信夫氏のGmailアカウントが乗っ取られる 104
ストーリー by hylom
気を付けよう 部門より
気を付けよう 部門より
あるAnonymous Coward 曰く、
経済評論家/経済学者の池田信夫氏が、Googleアカウントを乗っ取られて一騒動になっているようだ(やまもといちろうBLOG)。
どうやら第3者にアカウントを乗っ取られたようで、池田氏のGmailアドレスから各所に金を無心するメールが届いている模様。いっぽう池田氏はグーグルのシステムエラーだ。これじゃ危なくてGmailは使えないなどとGoogleに怒りの矛先を向けるも、状況が把握できず、復旧にも手間取っている模様(池田氏のTwitter)。
2段階認証使ってますか? (スコア:5, 参考になる)
Google アカウントだと、2段階認証という仕組み [google.com]がありますね。ユーザ名、パスワードと共に、ケータイやスマフォでGoogleから送られてくるコードを入力しないとログインできなくすると言う仕組み。
もし被害者の方がこの仕組み使ってたら今回はクラッキングを防げたでしょう。
送られてくるコードはワンタイムなのでフィッシングなどに引っかかっても被害を最小限に抑える事ができます。
#と、言うのをこの騒動で初めて知った
#ノビーには悪いけど思いっきり他山の石にさせてもらう
Re:2段階認証使ってますか? (スコア:1)
いや、あるページでGmailへの入力経路のっとり、なら多少のことはできますが、ブラウザの起動の都度ワンタイムパスワードを入れるので、それ以上にはならないだけマシじゃない?
ちなみにGoogleのはAndroidだとアプリがコード生成できるのもあって、これを利用してます。
これはサードパーティでも利用できて、自分はLastPass(Webパスワード管理)とDropbox(ストレージ)のを導入していますね。
# Googleのアカウントで認証するサービス(OpenID的なの)は、これ経由ってことになるのかな、まだ試してないや
## 別件トラブル中なのでID
M-FalconSky (暑いか寒い)
Re:2段階認証使ってますか? (スコア:1)
ブラウザの起動ごとに二段階認証をおこなうと決まっているわけではないです。
ここって (スコア:2)
こんな話題も立つのかwwwww
まあ、パスワードに関するうんぬんか。
Re:ここって (スコア:2)
パスワード管理云々もいいけど、
実際自分の身にこういうことが起こったときに(自分が悪かろうがそうでなかろうが)
「自分じゃないんです。」
といち早く周知して信用失墜を避けるにはどういう対策が取れるか。普段からどういう準備をするべきか。みたいな議論を期待。
Re:ここって (スコア:5, すばらしい洞察)
>普段からどういう準備をするべきか。
いざというときに助けになってくれそうな人までブロックしない。
Re:ここって (スコア:3)
これは冗談抜きで大事ですよ。池田さんは少しでも気に入らない反論をされれば安直にブロックするから、
https://twitter.com/nasitaro/status/253414823512113152
>池田信夫氏がTwitterで助けを求めたが、助けられる人はみんな既にブロックされていた。
>(人望云々はあえて言わない)
>ドラえもんのどくさいスイッチを現実社会で初めて見た。
てなぐあいに皮肉られるわけで…。
clausemitz
Re:ここって (スコア:5, おもしろおかしい)
つまり普段の言動で信用を最底辺まで落としておけば、事故を起こしても信用はそれ以上失墜しないという高度な防衛策を氏は実践されているのですね。
Re:ここって (スコア:2)
>「自分じゃないんです。」
>といち早く周知して信用失墜を避けるにはどういう対策が取れるか。普段からどういう準備をするべきか。みたいな議論を期待。
シグネイチャーに鶺鴒の花押に針の穴的な何かを普段から仕込んでおくとか
Re: (スコア:0)
本人のアドレスで届いたメールと、自称本人の問い合わせはどちらを本物と判断するのかというなかなか面倒な事態ですからね。
Re:ここって (スコア:2)
Re: (スコア:0)
たしかにこれは厄介ですね。
そう考えると、乗っ取りが疑わしい場合のアカウント停止は妥協できるラインかな。
Re:ここって (スコア:1)
その「後から取ったアカウント」は歴史が浅いので信用度が低い、ということを一つの材料にしてもらうしかないですね…。
単に偽アカウントを作って偽告知するのはそもそもアカウント乗っ取りしなくてもできるので。
本人の公式webサイトがあれば、そこへの誘導メールである程度の信用度は担保できそうですが。
(もちろん偽告知メールによるフィッシングサイトへの誘導も考えられるのですが……)
Re:ここって (スコア:1)
だから歴史が長いアカウントを複数作っといた方がいいよねってことですよ。
元の方のコメントで「5つくらいのアカウントを取り、別々の管理をしつつ、~」ってあるでしょ。
元の話が「普段からどうするか」だから、普段から複数のアカウントを持っておけば、一つが乗っ取られても他のアカウントから連絡することである程度の信用性を付与できる。って話。
Aサービスしかアカウントを持ってない人が、それを乗っ取られてから慌ててBとCとDとEサービスのアカウントを用意しても、B~Eは赤の他人が作ったアカウントと区別がつかない。
でも普段からA~Eサービスのアカウントを持ってたら、Aサービスを乗っ取られてもB~Eから連絡すればある程度信用されそうかな、と。
B~Eを全然利用してなかったり全部Gmailにヒモ付けてたりしたら意味ないのが難点ですが…。
Re: (スコア:0)
アカウントハックネタならドラクエ10のアカウントハック騒ぎ [hiroba.dqx.jp]のほうを採り上げてほしいものです。
#自分でタレコめって? E-Mobileをソフトバンクが買収するネタを自分でタレコむような編集人がこのことを知らんとは思えん。
Re:ここって (スコア:1)
「アカウント停止されたけど修復方法わからん。グーグルさんツイッターで連絡下さい。」
並みのコメントだね。
自分から動いた方が早いよ。
Re: (スコア:0)
理由にならんな
Re: (スコア:0)
> こんな話題も立つのかwwwww
2chまとめブログの後追いみたいなサイトだからな
これ実際にはどうすればいい? (スコア:2)
たとえばGoogleのパスワードが漏れるなりブルートフォースあたりでバレたとして
悪意を持つものが別のパスワードへと変更。
この場合、どうやって取り戻せばいいんだろう。
クレカとか使って登録してるわけじゃないから、自分のものであるって証明って難しいだろうし。
「グーグルの人が読んでいたら、ツイッターで私に連絡をください」 (スコア:2)
http://d.hatena.ne.jp/abecedaire/20100202/ [hatena.ne.jp]
池田氏もこれくらい落ち着いて対処できてたら、バカにされることも無いんだろうけどね。
Re:「グーグルの人が読んでいたら、ツイッターで私に連絡をください」 (スコア:2)
この件の時に思ったんだけど、Verification Codeさえ盗めれば基本的な情報を適当にそれっぽくすればアカウント乗っ取りも出来るのかなぁと。
// 自分の過失を疑えない人とは絡みたくないわぁ
// 疑った上での結論ならだれも揶揄しないと思うんだ。(:>^
Gamil… (スコア:1)
Google アカウントではパスワードリセット用の電子メールアドレスを登録することが可能ですが、
その登録を解除する時にもメールを受信して確認するようになれば、取り戻せる可能性が高くなります。
Google のアカウントを取得しているユーザは、Gogole にそういう仕組を導入するように働きかけないと!
Re:Gamil… (スコア:1)
それ自分も考えましたが、そうすると
すでに消滅したメールアドレスや
他人に管理権を譲渡したメールアドレスが
消すに消せなくなってしまいます。
Re:これ実際にはどうすればいい? (スコア:1)
Googleを使っていると、パスワードクラックされた時のバックアップ手段として、携帯電話番号を登録せよって言われる。実際に登録しようとするとエラーで怒られるけど。
Re:これ実際にはどうすればいい? (スコア:1)
https://accounts.google.com/b/0/UpdateAccountRecoveryOptions [google.com]
そもそも日本がないみたいな気がします。
真の情報弱者は (スコア:1)
自分が情報弱者であることに気付かないw
ギリシャの昔から (スコア:1)
原因は… (スコア:0)
特定個人を狙ったキーロガーなら、わざわざブチ撒けるのも勿体ないから、違うだろうなぁ。
PC買い換えで不用意に廃棄した・近しい人の犯行・他のサイトと同じパスワード
このあたりですかね。
#googleが悪いってのは、超大穴だと思う
原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:5, 参考になる)
池田氏はTwitter [twitter.com]で
Gmailのパスワードを他と共通にしていたのがよくなかった。特にツイッターは「連携アプリ」を認証するときパスワードを入れるので、そこで盗まれた可能性が高い。すでにパスワードは変えました。みなさんもご注意を。
等と言ってますねえ。(強調は引用者による)どうもこれが原因のようです。メルアドはTwitterのアカウントに@Gmail.comだったようですし。
連携アプリを認証するときパスワードを入れるわけねーだろと言うところですでにいろいろとアレですが、さらにパスワードを共通にしていたなど典型的な感じですね。
これについてツッコミを受けたのか
自称セキュリティ専門家からバカなコメントがたくさん来たが、OAuthぐらい知ってるよ。問題はそれが本物かどうか見分けにくいこと。私が認証したアプリの中には、思えば変なのもあった。これはユーザーが注意するしかないか。
と発言していますが [twitter.com]、本当にOAuthを理解しているならパスワード入れろと言ってきた時点ですでにおかしいと言うことに気付くので、名前ぐらい知っていた程度か、あるいは知らなかったのでしょう。
#別にOAuthを知らなければならないということはないのに
#知ったかぶりして「し、知ってたわよ!ででで、でも見分け付きにくいのが問題よね!」とか言い出すあたりがノビーらしい
教訓としては
◆ パスワードは使い回さない
◆ パスワードを入力する必要があるときは、そこが正しいサイトかどうか確認する
と言うごくごく基本的な事に落ち着きそうです。
その他直接的には関係がありませんが
◆ 変なものを安易に認証しない
◆ 安易に誰それが悪いと決めつけて公に話さない
◆ 自分はパソコンに詳しいのだという根拠の無い盲信は危険である
と言う事も言えるかも知れません。
なお、池田氏はBlogの中注意喚起を行っています [livedoor.biz]が
今回はGmailのアカウントが停止されても使えるhotmailのアカウントをつくり、マニラに私の住所(たぶん私書箱)までつくるなど、プロの計画的犯行と思われます。こういう「国際版振り込め詐欺」は流行しているようなのでご注意を。
と言っていますが計画的犯行と言うより全て自動でできる事ばかりなので(大半の国では宛名がめちゃくちゃでも住所があってれば郵便は届く)プロの犯行であることは間違い有りませんが、池田氏を狙って計画的に行ったというのは本人の妄想だと思われますので、俺は池田大先生ほど
悪名高く有名じゃ無いから関係ないや、と思わずに対策をきちんとしておいた方がいいでしょうね。Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:2)
本当にOAuthを理解しているならパスワード入れろと言ってきた時点ですでにおかしいと言うことに気付く
さらにこの「気付く」がおかしいということに気付くのが、本当に理解している人だと思うのですよ。
例えばTwitterでOAuthを通すならば、その前にTwitterそのものに認証されていないとなりません。そして、Twitterによる認証手段はユーザ名/パスワードです。
よってブラウザの利用状況次第で、(Twitterが)聞いてくることはザラにあります。
特にスマートフォンでは毎回聞かれる人も多いのでは。そんなときに、SSL証明書を眺める人はどれだけいるのでしょう。そもそももPCと違って確認しにくいのがまた...。
パスワードに関するご指摘はその通りなので、簡単な防衛手段は、パスワード入力を求められた際「一度わざと間違える」でしょうか。
これで通ればフィッシングですが、「俺やっちまった。けど、別に漏れて困る文字列でなし」とゆーことで。
とか言ってると、一回は必ずパスワード不一致返すのがトレンドになったりして? ひょっとして今でもそうなのかな。
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:2, すばらしい洞察)
一回は必ずパスワード不一致返すのがトレンドになったりして?
えっ?
私:フィッシングサイトへアクセス
敵:似せたフォームを提示
私:パスワードはxxxっと...
敵:正規サイトのパスワード入力画面へリダイレクト
私:あれ?間違えた?パスワードはxxxっと...
正:認証OK
私:やっぱり間違えてたか
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
<input type="password" autocomplete="off">かな
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
パスワード抜かれてないのに巧妙ななりすましをされた!
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
おっしゃる「最近のブラウザ」は証明書が見やすいようになっているわけだが...
ありゃ玄人ぶってて無駄なんかいね?
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
証明書を眺めて、『何を』確認しているんですか?
言われてみれば、アドレスバー見れば済む程度しか確認していませんね。
Twitterを含め、大所はEV SSLなので「ああ、間違いなくTwitterだね」って感じですか。Firefoxだとここ最近はそこまでがAwesome Barに出てくるので、開くまでもないんですが。
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
何をそんなにヒートアップしてるんだ?
素直に何を確認しているか、答えただけですよ。答えさせたくなければ聞かなきゃいいのに。
しかも「言われてみれば、アドレスバー見れば済む程度しか確認していませんね。」とまで言っているんだが。
まぁ一つわかったことは、アドレスバーしか見るなって奴らは頭に血が上りやすい可能性があるってことだ。
血が上った頭じゃフィッシングにもかかりやすい、クールダウンするために証明書眺めるのも一興ですな。
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
「私が間違っていました」と書けば満足?
別にあなたの満足に興味はないんだが。
聞いたことに答えた相手をバカ呼ばわりして「ヒートアップしているわけでも何でもなく」っておいおい、頭大丈夫か?
少し冷静になって話を追ってみてくれ。そんなんじゃいくら正しいことを言ってても聞いてもらえないと思いますよ。(*1)
私は私のやり方が正しいと言い続けていない上、なるほどあなたの言う通りアドレスバーを確認すれば十分だねって意味で「言われてみれば、アドレスバー見れば済む程度しか確認していませんね。」と書いたのは明らかでしょう?
# Googleとかでこのページを見つけた人があなたの書いた嘘を真に受けてしまったら不幸ですから。
元の発言を改変できない以上、私が訂正するコメントを書くのと、あなたが訂正するコメントを書くのと、差はないでしょ。
*1 ああそれをわかっていて、私に書いて欲しいの? 私はヒートアップしないけど、信用されるようなコメントを書いてもいないと思うなぁ
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
あーそうそう、ちょっと困るんですよね、嘘を書いてもらっては。
私、技術者じゃないから。
勝手に役割を決めるなんて失礼ですわっ。
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
つもり、ねぇ。
私は訂正したつもりって言ったら、あなたはどう言うのだろう。
技術者ではないということで、いろいろと安心しました。
ふーん。誰だろうねぇ、間違ってたのは。
だから、「玄人ぶって」「素直に間違いを認めようとしない」という印象なわけです。
灯台もと暗し。これが随所に出ていると思う。
がんばれ、名無しの腰抜けさん。
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
Gmailのパスワードを他と共通にしていたのがよくなかった。
なんでわざわざ宣言しちゃうのかな。他も含めて全部バラバラのものに変えた後なら良いんですが。きっと変更していますよね。きっと。
Re:原因は… (スコア:3, 参考になる)
https://twitter.com/ikedanob/status/253290078154153984 [twitter.com]
>「このアカウントは 0 日前に削除されました。以下のいずれかの再設定方法を選択するとアカウントへのアクセスを回復できます」
>というページで何を選んでも復帰できない。
ここでフィッシングにかかってるよね。
Re:原因は… (スコア:2)
まぁ、落ち着いて徳丸さんが書いた記事でも読もう。
Gmailの成りすまし事件、傾向と対策 - ockeghemのtumblr: [tokumaru.org]
徳丸さんは、twitter に対するフィッシングサイトで抜くぐらいなら、gmail のフィッシングの方が確率高いだろうし、と、おっしゃってますが、個人的には、twitter の方が「この連携アプリ、試してみるか」と、人を惹きつけておいて、フィッシングサイトを踏ませやすいような気がします。どうやら spam 送信に使われたみたいですから、踏ませた方は gmail にこだわりがあったわけじゃなく、単に spam を送るために使えるアカウントが欲しかっただけで、twitter のアカウントとパスワードがゲットできたら、各種サービスでログインを試行する、という感じじゃないかなぁ、と。
Re:原因は… (スコア:1)
「また [livedoor.biz]」フィッシングに引っかかった、に一票
Re: (スコア:0)
>#googleが悪いってのは、超大穴だと思う
状況が把握できていない(ログインできない障害だと思っていた)時の
発言なんで、大目に見てあげて下さい……。
PCに詳しくない人って、PCが思い通りに動かないと大抵「壊れた!」って言うよね。
Re:原因は… (スコア:2, 参考になる)
「壊れているのは手前の頭だ」と罵りたいですね。
Re: (スコア:0)
英語で詐欺メールスパムが発信されているということは、犯人は乗っ取るのは誰のアカウントでも良かった(というか、誰を乗っ取ったのかなんて意識してない)んじゃないでしょうか。
Re:Ryo.Fもtwitterのアカウントを乗っ取られた (スコア:1)
Re:Ryo.Fもtwitterのアカウントを乗っ取られた (スコア:3)
このストーリーにあんな書き込みするなんて、アカウントを乗っ取られたRyo.Fさんに決まってますよ
#たぶんね!
Re:Ryo.Fもtwitterのアカウントを乗っ取られた (スコア:1)
「別人です。ありふれたハンドルネームは重複しがちですね」で済む話が、
終始ケンカ腰で語られると読む者の心証もずいぶん変わるものですね。
池田氏の現状を再演されている感じ。
Re:Ryo.Fもtwitterのアカウントを乗っ取られた (スコア:1)
荒らしに荒らしで対応して、炎上に油を注いで場を不愉快にするのは誰って聞いたら、
間違いなく筆頭候補ですからね。