アカウントが乗っ取られたら・・・

アカウントが乗っ取られたら・・・

こんにちは。リクルートCSIRTのきっかわです。
リクルートCSIRTでは、定期的にアカウントが乗っ取られた!という相談をよく受けます。では、どのように乗っ取られるのでしょうか?ヒアリングをしてみると多くが以下のケースでした。

・別のWebサービスがログイン情報を漏えいしていた。
・その別のWebサービスとログイン名とパスワードが同じだった。

いわゆるリスト型攻撃で乗っ取られているケースです。ログイン情報を多くのサービスで使い回しているとこうした乗っ取りが行われる可能性があります。みなさん、ログイン情報を使い回していませんか?

乗っ取られるとどのようなことが起こるでしょうか。相談を受けたケースの被害は、怪しいリンクのメッセージを送るケースが大半でした。リンクが無意味なものなら良いですが、ウイルスなどをインストールさせるものだったら大変です。

また、Google Driveのようなクラウドストレージを企業で利用していて、アカウントが乗っ取られた場合、企業の情報が漏えいする危険性もあります。

こうしたアカウントの乗っ取りに備えて普段からどんなことをすれば良いでしょうか。相談を受けると以下をお伝えしています。

・定期的に不審なログインアクセス(接続)があるか確認
・二要素認証の設定
・ログインアラートの設定

とはいえ、どこから確認してどこで設定すれば良いでしょうか。今回は、一つ目の「不審なログインアクセスがあるか」をピックアップして、複数のサービスでの確認方法をお伝えします。

対象のサービス

今回は、以下のサービスについて、ログイン履歴や接続中のデバイスがどのように見えるか紹介します。
Google, Microsoft, Apple, Yahoo! JAPAN, Dropbox, LinkedIn, Facebook, Twitter, LINE, Recruit

Google

Googleでは、接続されている端末やアプリを以下のページで確認することができます。これらページから不審なログインや接続の確認と削除を行います。

・最近使用した端末
https://myaccount.google.com/security#activity
・接続済みのアプリとサイト
https://myaccount.google.com/security#connectedapps

最近使用した端末

最近使用した端末の画面では、デバイスと時刻しか記載がありませんが、「デバイスを確認する」をクリックすると、機種やブラウザなどのより詳細な情報が確認できます。また、現在接続中のアカウントがあれば、その接続を削除することもできます。

接続したアプリとサイト

Googleアカウントで、Googleではない他のWebサービスと連携した場合の情報が表示されます。「アプリを管理」からより詳細な情報を見ることが可能です。また、連携しているWebサービスがあれば、そのアクセスを削除することもできます。

Microsoft

Microsoftでは、接続された端末のアクティビティを以下のページで確認できます。

・最近のアクティビティ
https://account.live.com/activity

最近のアクティビティ

該当アカウントに対して、デバイスやブラウザ、セッションの種類、場所などの詳細なログインアクティビティを確認できます。

Apple

Appleでは、現在接続しているデバイスを以下のページで確認できます。これらのページから、それぞれのデバイスの接続を削除することも可能です。

・AppleIDのデバイス
https://appleid.apple.com/account/manage
・iCloudのマイデバイス
https://www.icloud.com/#settings

AppleIDのデバイス

Apple IDで現在接続中のデバイスが表示されます。デバイス名をクリックすると、バージョンや電話番号、シリアル番号などの詳細の閲覧とその接続の削除が可能です。

iCloudに接続しているデバイス

iCloudに現在接続中のデバイスが表示されます。Apple IDでの画面と同様に、デバイスを選択すると、詳細を閲覧と接続の削除が可能です。

Yahoo! JAPAN

Yahoo! JAPANでは、ログインの履歴を以下のページで確認できます。ログインの履歴は残りますが、ログイン中の接続を削除ことはできません。

・ログインの履歴
https://lh.login.yahoo.co.jp/
・メールソフトログイン履歴
https://lhmail.yahoo.co.jp/

ログインの履歴

過去30件分に渡り、日時、端末情報、どんなサービスでログインしたかなどのログイン履歴が表示されます。

メールソフトのログイン履歴

PCのメールソフトなどで利用している場合、上記のログイン履歴の画面とは別に、メールソフトのログイン履歴という画面にて、過去30日分の詳細なログイン履歴を確認することが可能です。

Dropbox

Dropboxでは、ログイン中の接続と履歴を以下のページで確認できます。ウェブブラウザ、デバイス(アプリ)でログインしているものをそれぞれ見ることが可能です。

・個人アカウントのセキュリティ設定
https://www.dropbox.com/account/security

個人のアカウントのセキュリティ設定

ブラウザとデバイスや場所、アクティビティ(ログイン履歴)の情報の確認と、接続の削除を行うことが可能です。

LinkedIn

LinkedInでは、現在のアクティブなセッション(接続)を以下のページで確認できます。

・サインインした場所
https://www.linkedin.com/psettings/sessions

サインインした場所

サインインしている場所や時間、IPアドレスなどの詳細な情報を見ることが可能です。また、サインインしている接続をサインアウトすることも可能です。

Facebook

Facebookでは、ログインしたブラウザ、デバイスの履歴を以下のページで確認できます。

・セキュリティとログイン
https://www.facebook.com/settings?tab=security

セキュリティとログイン

ログインしたデバイスや場所、時刻の履歴の閲覧と、それぞれの接続をログアウトすることが可能です。

Twitter

Twitterでは、アプリのログイン履歴を以下のページで確認できます。

・ログイン履歴
https://twitter.com/settings/your_twitter_data/logins

ログイン履歴

ログインしたアプリ、日時、IPアドレスの情報を確認することが可能です。不審なログインがあれば、「アプリの連携」から接続の解除や接続許可の取り消しを行うことも可能です。

LINE

LINEでは、ログイン中の端末を以下の方法で確認できます。

・ログイン中の端末
アプリの「設定」→「アカウント」→「ログイン中の端末」

ログイン中の端末

LINEの場合、Webページから確認する方法はなく、確認にはiOSやAndroidのアプリが必要です。このページから現在ログイン中の端末名の確認とログアウトが可能です。

Recruit

Recruitでは、Recruit IDのログイン履歴を以下の方法で確認できます。

・ログイン履歴
Webページの「会員情報変更」→「セキュリティ設定」→「ログイン履歴」

ログイン履歴

時刻やログインしたサービス名、IPアドレスなどの詳細な履歴を見ることができます。

おわりに

今回は10個のWebサービスでログイン履歴をどのように確認できるかみてきました。
定期的に履歴を見て普通の状態を知っておくと、何かあった際に「おかしい」と気付けるので、この機会に自分の履歴を見てみましょう!