この記事では、メールアドレスを利用するにあたってメールアドレスのパスワードの重要性と、パスワードが流出した時にどのように悪用されるかをご説明します。
そして、メールパスワードを流出させない対策と、流出してしまった時の対処方法をご説明します。
メールアドレスのパスワードや仕組みについては多くの方が理解していない事が多く、セキュリティ上危険な状態にある方がほとんどです。
この記事を読んで、メールアドレスのパスワードを見直してみましょう。
目次
メールアドレスのパスワードと解析方法
メールアドレスに設定しているパスワードは必ずあります。
例えば、Gmailであればログイン時のパスワードがメールパスワードでyahooメールであれば、yahooアカウントにログイン時のパスワードがメールパスワードになります。
OCNやPlalaなどのプロバイダーのメールアドレスを利用している場合はプロバイダのWebメールにアクセスする時のパスワードがメールのパスワードになります。
@以降が@youtm-log.comなど会社の独自ドメインの場合は、メールアカウント管理者がメールアドレスのパスワードの管理を行っています。
| メールの種類 | パスワード |
|---|---|
| Gmail Yahooメール | アカウントにログイン時のパスワード |
| OCN、plalaなどのプロバイダのメール | Webメールログイン時のパスワード |
| 会社のドメインのメール | 管理者がパスワードを設定 |
GmailやYahooメールは、パスワードを一定回数以上間違えるとアカウントにログインできなくなる仕様になっています。
プロバイダのメールアドレスや、企業のメールアドレスはメールサーバーの設定によっては、メールサーバーにアクセスする時のパスワードを複数回間違えても、アクセス出来なくなる事がありません。
これは、どういういう事かというと、、、、
1から順番にすべての組合せのパスワードを入力していけば、いつかメールアカウントのパスワードが解析されてしまうという事です。
このすべての組合せを総当たりで解析する攻撃方法をブルートフォースアタックと言います。
ブルートフォースアタック以外でもウイルス感染でメールアドレスのパスワードが流出したり、Outlookなどのメーラーから直接パスワードを見てしまう事もできるので説明します。
ブルートフォースアタック(総当たり攻撃)でパスワード解析
ブルートフォースアタックは数字だけのパスワードや、小文字英語と数字の組み合わせなどの単純なパスワード、5桁以下のパスワードでは解析されてしまう可能性が非常に高いです。
zipファイルを例にして実験をしてみましょう
zipファイルはパスワードをかけられるので、ファイルにパスワードをかける時に
zipファイルにしてパスワードをかける方がいると思います。
zipファイルのパスワード解析は「Laplus」などの圧縮、解凍フリーソフトでも
標準の機能でついています。
今回はLaplusで数字のパスワードで8ケタ(95749586)のパスワードの解析にかかった時間は3分37秒でした。
ちなみに数字8ケタのパスワードの場合すべてのパスワードの数は1億通りほどになります。
1億通りのパスワードがわずか4分で解析されてしまいます。
数年前はプロバイダのメールの標準パスワードは小文字英語、数字の組み合わせで6桁が多かったです。
いまだにプロバイダーのメールパスワードが6桁の方も大勢いらっしゃいます。(危険ですね)
小文字英語数字のパスワードの組み合わせは21億通りあります。
1億通りで4分程度なので、21億通りのパスワードでも2時間弱で解析が終わります。
そのため、メールのパスワードは小文字、大文字アルファベット、数字、記号を含めた
複雑で長いパスワードにしなければなりません。
最近パスワード設定の際8桁以上で【大文字】【小文字】【数字】を組み合わせることが多いと思いますが、この組み合わせであれば3兆通りのパスワードがあることになります。
先程と同じ方法で解析するには5年以上かかることになります。
パスワードの解析もパソコン性能の向上や、ネットワーク通信速度の向上により解析時間が短縮される恐れがあるので、可能であれば10桁以上のパスワードで【大文字】【小文字】【数字】に加えて【記号】も組み合わせたパスワードが理想的です。
メーラーのパスワードを見る
Outlookなどのメーラーに設定しているパスワードは簡単に見ることが出来ます。
Outlook2013やLiveメール、その他メーラーであればフリーソフトの「PasswordEye」をつかうことでパスワードを見ることが出来ます。
またOutlook2016以降ではアカウントの修正からパスワードを表示させることが出来ます。
以下の記事でメールアドレスのパスワード表示方法は記載しています。
このようにメーラーに設定しているパスワードはすぐに見ることが出来きるので、他のパスワードと比べ流出する可能性が高いと思ってください。
離席時などにメールアドレスのパスワードを見られてしまう可能性もあるので、パソコンから離れるときは、必ずキーボード上のWindowsマーク+【L】でパソコンをロックしましょう。
また、ロックし忘れても自動的にロックがかかるようにスリープのまでの時間を最短に設定しましょう。
パソコンにパスワードをかけていない方はパスワードをかけてください。
ウィルスでメールアドレスパスワードが流出
最近ではエモテットというウィルスが多く拡散されています。
エモテットに感染するとメールパスワードや送受信メール、アドレス帳、パソコンに保存しているパスワードが流出してしまいます。
エモテットについて記載しているので、気になる方は見てください。
準備中。
エモテットはかなり感染確率が高く、私も実際に感染してしまった方を多く見ました。
感染してしまった方の多くがウィルスソフトをインストールしていないことが原因でした。
有償のウィルスソフトのインストールは行っておきましょう。
また、利用しているウィルスソフトがウィルスバスターの場合は迷惑メール検知機能と添付ウィルスチェック機能を有効にしましょう。
https://youtm-log.com/setting/other-setting/trendmicro_setting/
また、ネットワークの出切口にセキュリティー端末(UTM)を設置して、インターネットとの通信はすべて検知する環境づくりをして、パソコンのウィルスソフトとの2重でのチェックも検討しましょう。
他サービスで使っているパスワードを利用はNG
万が一、メールアドレスのパスワードが流出してしまった時の事を考えると他のサービスと同じにすることはセキュリティ上よくないです。
たとえばA社ショッピングサイトで利用しているIDがa@aaa.com、パスワードが【Abcd1234】だとします。
そしてa@aaa.comのアドレスのパスワードも【Abcd1234】の場合を想定してみましょう。
ブルートフォースアタックやエモテットなどでメールアドレスのパスワードが解析させてしまった場合、メールの内容を閲覧することが出来ます。
どんなショッピングサイトやサービスを利用しているかはメール内容を見ればすぐにわかります。
A社ショッピングサイトのIDとパスワードをメールアカウントと同じにしている場合、メールアドレスと解析したパスワードでA社ショッピングサイトに不正アクセスする事が可能になります。
さらにA社サービスの2段階認証の認証コード発行先がa@aaa.comの場合
2段階認証を行っていても不正アクセスが可能になってしまいます。
これらの事から、メールアドレスに設定するパスワードは他のサービスなどで利用しているパスワードと同じパスワードを利用する事は避けましょう
メールのパスワードが漏れるとどうなるの?
メールの送受信の仕組みについて一度勉強したい方は以下の記事を読んでください。
パスワードが流出するとメール受信の場合、メールアドレスの持ち主に気づかれずに受信メールを見られてしまいます。
メールサーバーにメールをダウンロードする設定がPOPで設定されていて、尚且つサーバーにメールデータを1日でも残す設定の場合を想定します。
POP受信の場合、メールデータがメールサーバーにある状態になるのでその他の端末でメールを受信した場合はメールを受信する事が出来ます。
メールサーバーのデータになにか変化があるわけではないので、気づかないまま全ての受信メールを見られてしまう恐れがあります。
また、パスワードが流出するとメール送信の場合は自分のメールアドレスからメールを送信されてしまいます。
メールアカウントのパスワードがわかっていれば、パスワードがわかっているメールアドレスからメールを送信することが可能になります。
迷惑メールやウィルス付きメールを大量のアドレスに送信してしまい、迷惑メールの送信元として使われてしまいます。
この場合は、不特定多数のメールアドレスにメールが送らるので、メールアドレスが間違っていて送られない場合はメールが返ってきます。
何百件、何千件の上記のようなメールが受信された場合は、メールアドレスのパスワードが解析されて、あなたのメールアドレスでメールを送信されているので、直ちにメールアドレスのパスワードの変更を行ってください。
対策方法
ここまで説明すれば、メールアドレスのパスワードがいかに大切かがわかっていただけたかと思います。
記事中でも対策方法をは記載していますが、もう一度おさらいしてみましょう。
メールパスワードを流出させない対策
ブルートフォースアタック(総当たり攻撃)の対策方法
- メールアドレスのパスワードを10桁以上で【大文字】【小文字】【数字】【記号】を組み合わせたパスワードにする
- その他で使っているパスワードと同じに絶対にしない
メーラーのパスワードを見られてしまう対策方法
- 離席時にWindowsマーク+【L】でパソコンをロックする
- スリープ時間を最短にする
ウィルスでメールパスワードが流出する対策方法
- ウィルスソフトをインストールする
- UTMを設置する
メールパスワードを流出した時の対策
- 定期的にメールのパスワードを変更する
- 直ちにメールアドレスのパスワードを変更する
まとめ
プロバイダのメールを利用している方は、今一度メールアドレスに設定しているパスワードの確認を行いましょう。
メールアドレスのパスワードの確認手順は以下の記事を参考にしてください。
パスワードの変更手順は利用しているプロバイダのホームページから確認してください。
また、会社のメールアドレスを利用している方はシステム管理者の方にメールのパスワードが適切な長さになっているか確認を行ってみましょう。
エモテットなどのウィルス対策も行いたい方はウィルスソフトを導入して、迷惑メールや詐欺メール対策を行いましょう。
メールパスワードの管理はセキュリティ上、非常に重要にも関わらず一番おろそかにされている項目です。
企業で利用しているメールアドレスはメール流出で取引停止処分にもなりかねませんよね。
今一度メールアドレスのパスワードの確認を行ってみてください。
