ラクマで不正アクセス未遂!
2019年11月17日、フリマアプリのラクマ(旧フリル)から、身に覚えのない「パスワード変更のご確認」メールが届きました。
誰かが私のメールアドレスを入力してログイン、しようとするもパスワードが合わない→「パスワード・ログイン方法を忘れた方はこちら」をクリックして、パスワード再設定を行おうとしたようです。
怖い…。
現在、ラクマでは不正アクセスやアカウント乗っ取りなどが相次いでいるようです。金銭面での被害もネット上で報告されています。
ラクマに登録している方はパスワード強化など対策をとりましょう!
この記事では、
などもまとめています。
今回届いたメールの内容
今回届いた「パスワード変更のご確認」メールの一部を抜粋してご紹介します。
●●●様
ラクマをご利用いただきありがとうございます。
パスワードの変更申請を受け付けました。
下記URLをクリックして、パスワードの再設定画面から
新しいパスワードを設定してください。https://api.fril.jp/users/password/~
・このURLの有効期限は7日間です。
・登録した覚えがないのにこのメールを受け取られた方は、お手数ですがこのメールを削除してください。ご不明な点がございましたら、[マイページ(またはサイドメニュー)>ヘルプ・その他>お問い合わせ]または[support@fril.jp]までご連絡ください。
※こちらのご案内は送信専用です。
ユーザー名(メール冒頭の●●●様の部分)は本物でした。リンク先は怖いのでクリックしていません。
メールは本物か調べた結果
メールの送信元は「新ラクマカスタマーサポート(旧フリル)」。
メールアドレスを確認すると「noreply@fril.jp」でした。
「noreply@fril.jp」で検索したところ、ラクマ公式ガイドの退会したら再登録はできますか?というページがヒット。
ラクマ公式ガイドの該当ページには以下のことが書かれていました。
※【support@fril.jp】および【noreply@fril.jp】からのメールが受信できるよう設定の確認をお願いいたします。
今回のメールはどうやら本物っぽい。
メールのタイトル横などに楽天のブランドアイコンも表示されているので本物でしょう。
不正アクセスの被害に遭わないための対策
ラクマで不正アクセスやアカウント乗っ取りの被害に遭わないための対策をご紹介します。
私の場合は、ラクマ退会を選択しました。
あと、楽天ID連携をしていたので、念のため楽天のパスワードを変更しました。
最強のパスワードに変更する
他人に見破られやすい単純なパスワードを設定している方は、すぐに最強のパスワードに変更しましょう。
自分でパスワードを作成する場合は、数字と英字(小文字&大文字)、記号を組み合わせて、8文字以上のパスワードを作成することを推奨します。
「パスワードを考えるのが面倒くさい」という方は、パスワード生成サイトを利用するのがおすすめ。
私は、LUFTTOOLSさんのパスワード生成(無料)を利用しています。いくつかの項目を選択すると、自動でパスワードを生成してくれる便利ツールです。登録なしで利用できます。
パスワードは使いまわさない
複数のインターネットサービスでパスワードを使いまわしていると、アカウント乗っ取りの被害に遭う可能性が高くなります。
最近は、パスワードを使いまわしているユーザーが標的となる「パスワードリスト型攻撃」が後を絶ちません。パスワードを使いまわしている場合はすぐに変更しましょう。
アプリをアップデートする
ラクマのアプリを利用している場合は、アップデートして最新の状態にしましょう。
ラクマのアプリは、Android アプリ「ラクマ」バージョン 7.15.0以前とiOS アプリ「ラクマ」バージョン7.16.4以前で脆弱性が確認されています。
この問題は最新版のアプリにアップデートすると解決します。
ラクマを退会する
私はラクマを長らく利用していなかったので退会することにしました。
ラクマの退会手順は以下の通りです。
- STEP1ログインするラクマにアクセスして、ログインします。
- STEP2マイページにアクセスマイページで設定→退会申請をクリックします。
- STEP3退会申請フォームが表示される退会理由を選択&入力します。「上記の注意事項に同意する」にレ点を入れて[送信]ボタンをクリック。
- STEP4退会申請完了「退会申請を受け付けました。」の画面が表示されます。
ラクマの場合、すぐに退会はできず、退会処理が行われるまで1週間程度かかるようです。
この間に不正アクセスされる可能性もあるので、パスワードは強固なものに変更しておきましょう。
個人情報が漏洩していないか調べる方法
メールアドレスやパスワードが漏洩していないか調べる方法をご紹介します。
調べることができるサイトは「Have I been pwned」と「Firefox Monitor(日本語対応)」の2つ。
Have I been pwned
公式 Have I been pwned(メールアドレス漏洩を確認する)
公式 Have I been pwned(パスワード漏洩を確認する)
Microsoftの地域ディレクターであるTroy Hunt氏が運営する「Have I been pwned」では、メールアドレスもしくはパスワードを入力するだけで、漏洩していないか確認することができます。
▼使い方
【1】あなたのメールアドレスを入力する。
【2】[pwned?]ボタンをクリックする。
漏洩していない場合は画面が緑、漏洩していた場合は画面が赤色で表示されます。
私のメールアドレスを調べた結果…
私は4つのサイトでメールアドレスとパスワードが漏洩していました;;
漏洩元は、
・2016年 巨大漏洩ファイル群「Anti Public Combo List」
・2018年 巨大漏洩ファイル群?「2,844 Separate Data Breaches」
・2019年 画像編集サイト「canva」
・2019年 巨大漏洩ファイル群「Collection #1」
今年に入って2つも…。
canva(漏洩事件の詳細)は、漏洩が発覚した時すぐにパスワードを変更。重要な個人情報(本名や住所、口座など)を入力していない、パスワード使いまわしもしていないので、実害はありませんでした(今のところ)
Have I been pwnedは、メールアドレスを登録しておくと、漏洩した時に自動的にメールでお知らせしてくれます。利用したい方は、上部メニューの「Notify me」から登録してください。
Firefox Monitor(日本語対応)
Mozillaが公開している「Firefox Monitor(日本語対応)」
こちらもメールアドレスを入力するだけで、漏洩していないか確認することができます。ブラウザがFirefoxじゃなくても利用可能。
▼使い方
【1】あなたのメールアドレスを入力する。
【2】[データ侵害を確認する]ボタンをクリックする。
Firefox Monitorで確認した結果・・・
「canva」の1件だけ表示されました。データ提供元は上記のHave I been pwned。何故Have I been pwnedと結果が異なるのかはわかりません。
利用するなら、情報量の多さからHave I been pwnedの方がおすすめかな。
ちなみに、Firefox Monitorも、メールアドレスを登録しておくと、漏洩した時に自動的にメールでお知らせしてくれます。必要な方は是非利用してみてください。
まとめ
ラクマから身に覚えのない「パスワード変更のご確認」メールが届いたらすること。
すでに不正アクセスされていた痕跡がある場合はラクマに問い合わせましょう。
あなたのメールアドレスやパスワードが漏洩していないか調べることもできます。
ラクマ側に求めることは、メールアドレスやパスワード以外の認証方法を採用すること、住所や口座が本人にバレずに簡単に書き換えられる状態のようなのでそれも改善していただきたいですね。
フィッシング詐欺メールに騙されかけた話もまとめています。