パスワード漏洩の警告が届いた話
ちょっとシンガポールに旅行をしてきたよ。
嘘だよ。
これはMicrosoftくんが俺に送ってくれた警告メールの切り抜きだ。
要約すると、
・怪しいからアカウントロックしといたぞ
・感謝しろよ
…とのこと。まったくありがたい話である。
思い返すと、最近Googleのアカウントにも頻繁に通知が来ていた。
「バルセロナからアクセスされたぞ!パスワード変えとけよ!」
「アラブ首長国連邦からアクセスされたぞ!そろそろやべえぞ!」
…と、世界各地から引っ張りダコのアカウントのようだ。
普段は上記のような警告が出ると同時に海外IPからのアクセスが遮断されるため、事を深刻に捉えることもなく「おっそうだな」程度の生返事で済ませていた。それで十分だと思っていた。
今回はそうもいかなかった。
いつもとは異なり、Microsoftから警告が届いた。
それと同時にGoogle Chromeが「データ侵害でパスワード漏洩してアカウントが不正使用されたからナルハヤで変更しろボケ」という、ムッチャ怖い言葉で警告文を出してきたのだ。
これはいよいよヤバいかもしれんぞ、と社畜の疲れた頭でもなんとなく理解できた。
「パスワードが漏洩してアカウントが不正使用される」というのは、その人がインターネットでどんなサービスを利用しているかによって被害の大きさに雲泥の差が生じるけれど、ひとつ確実に言えるのは、「クレジットカードを登録しているサイトがあるとヤバい」ということだ。
他人が自分になりすまして買い物をするなんてのはほんの序の口で、闇属性の社会でマネーロンダリングに使うために情報が売買されるなんてこともある。
そんなことに使われてはただでさえ雀の涙ほどしかない貯金が泡沫の夢どころか、知らず知らずのうちに犯罪に加担してたなんてことになりかねない。
俺は重い腰(運動不足による)を上げて、Chromeに登録されている「同じメールアドレス・同じパスワード」を使いまわしているアカウントを一つひとつ更新することにした。
…
終わった。非常に面倒だった。
Chromeくんは賢いので、たいていの場合は警告画面からワンクリックで各種登録制サイトのパスワード変更ページまで飛んでくれる。GAFA一番槍は伊達ではない。
以前の使い回しパスワードも覚えてくれているので認証も楽。
さらに新しくパスワードを入力しようとすると、非常に高い精度で生成された不規則な文字列を新パスワードとして提案してくれる。
これを使用すればChromeに保存されるから、わざわざ覚えなくても大丈夫!との受け売りだ。
ただこれらの便利機能を駆使しても問題点は少なからずあった。
問題点その1:メールアドレスが古くて変更できない
これが一番困った。中学生のときに当時のメールアドレス(Gmail)で作成したアカウントのパスワードを変更しようとすると、「じゃあ中学生メアドに確認メール送ったからそれを開いてね」と誘導されるのだが、俺はすでにそのGmailアカウントを削除しているため、開くことができない。
これは本当に打つ手ナシだ。幸いにも厨房時代にクレジットカード登録などしていなかったので被害はほぼゼロだと予想されるが、クレカ情報が入ったアカウントが復旧不可能になることを考えると非常に恐ろしい。
あとゲーム攻略サイトのアカウント名が「x<Night Owl>x」とかいう全身に激痛が走る厨二全開ネームだったので、これはもうパスワード云々ではなくアカウント自体を削除した。
電子の海にゴミを流してはいけない。
問題点その2:アカウントが複数存在する
これは難しさこそないものの、手間がかかった。
パスワードを変更したにもかかわらず、「おまえまだこのサイトのパスワード変更してないやろ」とChromeに注意を受ける。
アカウントAは変更が終了済みだがアカウントBが未完了、という状態を指すのだが、これがなかなか分かりづらい。
間違ったメールアドレス・パスワードでログインを試行した履歴などが残っていると、その登録情報が実在すると勘違いしたChromeから「変更まだやんけ!」とドヤされる。
問題点その3:海外サイト
ウズベキスタン鉄道、お前のことだ。
こっちはさっさとパスワードを変更したいのに、とにかく言語面から目的ページまでの道のりが長い。
英語ならまだしも、ウズベキスタン鉄道はロシア語とウズベク語がデフォルト表示で、英語表示に切り替えてもところどころロシア語のまま残っている。社会主義の残滓は拭えないという自虐ネタだろうか
問題点その4:アダルトサイト
海外アダルトサイトとかいう信用性のかけらもないところにアドレスとパスワードを使い回した高校時代のちんぽを殴りたい。問題点があるとすれば俺の頭だ。
…
………
そんなこんな、カクカクシカジカで令和のセキュリティ改革は終了した。
いまのところクレジットカード使用履歴には不審な履歴は見当たらないし、不正アクセスの警告もパッタリと止んだ。
ひとまずは一件落着だが、こんな面倒なことが起きないように、なにより万年氷河期の我が口座の安寧を保つためにもパスワードはChromeの自動生成に頼ろうと心に誓った。
みんなも、せめてカードや住所を登録するWebサイトのアカウント情報は他とは異なる不規則な文字列に変更したほうがいいと思うので、暇なときに更新してみてはどうだろうか。
「エッチなサイトのアカウントが10個もある!」みたいなマヌケ事態が発生しなければ、パパパっと終わるはず。
【余談】
久々に昔のオンラインゲームサイトにログインした。
これは俺が小学校5年生のときに作成したアカウントだ。
ログイン情報はIDとパスワードの二種類だが、なんとパスワードがアルファベット4文字というドコモ口座も裸足で逃げる脆弱セキュリティだった。
これは小学校5年生のボクくんの落ち度ではない。
現在であればたいていの登録制サイトでは「パスワードはアルファベットの大文字/小文字・数字・記号を混ぜた8文字以上にしてください」のような規定があり、これに沿わないパスワードではアカウントは作成できなくなっている。
ただ、当時にそんな規定は存在せず、たぶんアルファベット4文字以上とかで十分だったのだ。
…
ハイテク技術の進歩は早いな~。そりゃデジタル庁とか必要だよね。
上記の脆弱アカウントのIDとパスワードは、このサイトから離れて10年以上経過した今でも覚えていた。
あの頃は宿題を終わらせてから習い事に行くまでの1時間弱しかプレイできなかったが、これだけ記憶しているということはそれほど心血を注いでいたのだろう。
いや、4文字だからか。
懐かしいからこのアカウントはそのままにしておいた。