昨日のBlog記事を書き終えてさあ寝ようと思ったところ、一通のメールが届きました。全てが英文と写真が一枚添付されているものでした。なんだ、迷惑メールか、と思って削除したのですが、これがとんでもない出来事の予兆だったのです。
さてと、そろそろ寝るかと思っていたところに、メールの着信通知が続けて2つ。そのどちらもが同じく英語で写真付き。あれっ?と思ってよく見ると、その2通とも、そして先に削除した1通も、添付されていたのは全く同じ写真でした。うわ、これ、連続でスパム攻撃喰らってるんじゃ。そう思ってプレビュー画面で既に開かれているメール本文を読んでみると、単なるスパムではありませんでした。
どれも全て送り主がドメインのPostmasterで用件はDelivery has failed、つまり何かと言うと「あなたが送信したメールは相手のアドレスに届けられませんでしたよ」というレポートだったのです。え?え?どういうこと?何にも送信なんてしてないし。
そう思っているうちにも、数分置きに同じく不着報告のメールが幾つも届き始めました。これ、自分に対して迷惑メールを送りつけられているんじゃないよなあ、ということは解ったのですが、それが「自分のメールアドレスを騙って何者かが迷惑メールを送信している」という状況だと気づくまでに数分かかりました。そんなこと全く想定もしていなかったので。
その不着報告に引用されている、スパム本文を見てみると、フランス語で書かれていて、文面のバリエーションは3種類ほどあり、どれも女性の同じ写真が添えられていました。そして、差出人のところには女性らしき名前がわたくしのアドレスの前に添えられていました。しかしReturn-Pathつまり返信先はわたくしのアドレスではなく全く別のアドレスに返信するような設定にされていました。
これで考えられるパターンは2つあって、ひとつは何らかの方法で、他のアドレスから送信しているメールのヘッダー情報を書き換えて、送信元を偽装しているパターン。そしてもう一つは実際にわたくしのメールアカウントを利用して迷惑メールを送っているパターン、いわゆる乗っ取りですね。
けれども眠気に囚われていたわたくし、前者の可能性しか思いつかなかったのですよ。なので、誰かが誰かにスパムを送りつけて、受信した人は送り主をわたくしだと思い込んでいるんだろうなあ。そんな迷惑なことされても、手の打ちようが無いからほとぼりが冷めるまで放っておくしかないんだろうなあ。と考えて、MacはスリープさせiPadなどは通知音が聞こえないように音量オフにして寝ました。
そして今朝です。メールの受信通知を見たら120件超の迷惑メールならぬ迷惑メールの不着通知が。
一晩でこれってたまらんなあ。いつまで続くんだろう、とそう思っているうちにも続々と。なんだか不気味で寝ぼけた頭も徐々に意識がはっきりしてきました。
ちなみに、そのメールアドレスというのは、いわゆるApple IDにもなっているものです。元々AppleのMacBookを初めて買った時に無料サービスとして貰えたアドレスなのですが、途中バカ高い有料サービスに移行したりもされつつ、気に入っているので使い続けているものです。それが脈々とiCloudにまで受け継がれて、自動的にそれがApple IDとして扱われることにもなったのです。
そういうものなので、昔のセキュリティ意識が高くない頃のパスワードがそのまま引き継がれています。英数字で8文字以上としか制約が無かった頃に決めたパスワードで今も自動ログインされるようになっていました。
もしかしたら、ただのアドレス偽装だけじゃなくてアカウント乗っ取りかもな、と気づいたのは眠気覚ましのコーヒーを飲んでいる時でした。関係無いかもしれないけどパスワードを変えてみよう。でもどうすりゃいいんだ?とiPadの設定アプリを開いてメールの設定を開いて。
パスワードの変更をする為には本人確認の為の秘密の質問に2つ答えるなんていうハードルがいつの間にかあったので、その再設定からやり直さねばなりませんでした。そして、アルファベットの大文字、小文字、数字が混在した新しいパスワードに更新しました。そうしたら。
怒濤のような迷惑メール不着レポートがぴたりと止まりました。つまり、やっぱりパスワードを破られてメールアカウントを乗っ取られていたということです。
イコールApple IDなので、iCloudと紐づけられている端末は全てパスワードの再入力を求められて面倒でした。そしてさらに、iTunesやApple Musicの利用にも必要なIDのパスワードなので、そちらも再入力を求められましたが、さらに、クレジット情報の再確認まで要求されセキュリティ番号を再入力するようにとのことでした。
そうでした。Apple Musicの月額費用を自動的にクレジットカードから引き落とすために登録していたんですよ。ということは、このメールのパスワードが破られていた状況ならば、さらに高度な技術者ならクレジットカード情報を盗もうと思えば盗めたはずなんですよ。そこでやっと背筋が凍りました。
いやもうあの2、3通届いたところでサッと思いついてパスワードを変えておけば良かったです。というよりも、定期的にもっと複雑なパスワードへの変更をしておくべきでした。
自分の身には今のところ大きな被害は無さそうだし、ごくプライベートなメールアカウントで済んで良かったと思います。これが社用メールのアカウントだったりネットバンキングのアカウントだったりしたら…。
皆様もパスワードの変更は定期的に行ったほうが良いと思いますよ。明日は我が身です。