いまさら聞けない?Windows 10のTips

第54回

Skypeで勝手にスパムをばらまき!? もしもMicrosoftアカウントが乗っ取られたら

スマートフォンアプリを使った2段階認証を有効化することをお勧め

アカウントの乗っ取りを実体験

Skypeアカウントが乗っ取られ、スパムをばらまかれる事案が発生

 気が付いたら、Skypeに登録されている友人全員に、身に覚えのないスパムメッセージをばらまいていた……。

 同じような話を聞いたことがある人も少なくないかもしれませんが、これは、つい最近、筆者が体験した実話です。

 原因は、おそらくアカウントの乗っ取り。

 8文字以上、英数字と大文字小文字を組み合わせ、しかも使い回しもしていなかったSkypeのパスワードが何らかの方法で、第三者に知られ、勝手にメッセージを送信されていました。

 幸い登録されていたクレジットカードの不正利用などもなく、単純にスパムが送信されただけで被害を止めることができましたが、気を付けていても被害に遭う場合があることを思い知らされました。

 では、もしも自分の身に同じことが起きたらどうすればいいのでしょうか? その対処方法を見ていくことにしましょう。

1. まずはパスワード変更

 まずは、パスワードを変更します。

 Skypeのアカウントは、数年前からMicrosoftアカウントとリンクされています。このため、Skypeのアカウントのパスワードを変更することは、Microsoftアカウントのパスワードを変更することでもあります。

 Microsoftアカウントのwebページにアクセスし、今までとはまったく異なる、長いパスワードに変更しておきましょう。

上部のメニューから[セキュリティとプライバシー]を選択。[パスワード変更]をクリックして、パスワードを変更する
1+. あやしい動作をチェックする

 前掲のMicrosoftアカウントのページでは、パスワードの変更以外に、アカウントの怪しい動きをチェックすることもできます。

 この操作は2以降の対策を済ませた後、最後に実施するのが本当は望ましいのですが、Microsoftアカウントのwebページから簡単にチェックできるので、パスワードを変更するついでに見ておくといいでしょう。

 [最近のアクティビティの表示]をクリックすると、直近、どこからサインインしたのか? パスワードを間違えて入力した形跡はないか? を確認できます。

 筆者のケースでは、ちょうどSkypeでスパムメッセージが投稿された直前の時間帯に「パキスタン」でのサインインが記録されていました。

 詳細を確認すると、プラットフォームはiOSでアプリはSafariで、Skype名として設定していたアカウントエイリアスを使ってサインインしていることがわかりました。

 場所やプラットフォームの情報がすべて正しいとは限りませんが(プロキシやVPN経由なども考えられる)、第三者がSkypeアカウントを勝手に使った可能性が高いことは、これで明らかになりました。

[セキュリティとプライバシー]から[最近のアクティビティの表示]をクリックする。一覧の一番下にある[アカウント活動を詳しく確認]をクリックすると過去の履歴も表示できる
2. ウイルスチェック

 続いて、ウイルスチェックを実行します。

 もしも、PCやスマートフォンなど、Skypeがインストールされた端末がマルウェアに感染し、マルウェア経由でメッセージが勝手に送られているとしたら、まずその被害を食い止める必要があります。

 ただし、以前はデスクトップPC用のSkypeアプリのAPIを悪用するケースもありましたが、現在はSkypeのAPIそのものが廃止されています。このため、アプリの連携機能を使うような単純な手口ではなく、キー入力や画面などから情報を盗むようなマルウェアに感染している可能性も考えられます。

 筆者の環境では、Skypeがインストールされている端末は、PCのみでしたが、身の回りの端末で一通りセキュリティ対策ソフトによるスキャンを実行したところ、どの端末からも疑わしいプログラムは検出されませんでした。

セキュリティ対策ソフトを使って端末をスキャン。Windows 10標準のWindows Defenderを使う場合は[スキャンのオプション]で[フル]を選択してスキャンする
3. リンクを解除する

 ここまでで、とりあえず様子を見るというのが定番の流れですが、さらに2ステップほど対策しておくと、今後も安心です。

 まずは、SkypeのアカウントをMicrosoftアカウントから切り離します。

 「1+」で触れたように、Microsoftアカウントそのものではなく、リンクされたSkypeのエイリアスを使ってサインインしています。このエイリアスを継続して使うのは危険なので、無効化してサインインに使えないようにしておきます。

 Microsoftアカウントのwebページで、プライマリとして設定されているアカウントに追加されたエイリアスを確認したり、エイリアスでのサインインを無効化することができます。

 「サインイン設定」でエイリアスのチェックを外しておけば、以後、エイリアスを使ってSkypeにサインインすることができなくなります(プライマリでサインイン可能)。

上部のメニューから[あなたの情報]をクリックし、[Microsoftにサインインする方法を管理]をクリック。さらに[サインイン設定を変更する]をクリックし、一覧から使わないエイリアスのチェックを外す
4 .2段階認証を導入する

 パスワードが漏洩することは、今後もないとは言えません。このため、万が一、パスワードが第三者に知られたとしても、実際の被害を防ぐための対策が重要になります。

 その1つの解となるのが2段階認証です。

 パスワードの入力後、さらに別の方法で認証を実施することで、はじめてそのアカウントでのサインインを許可します。

 今までは、メールやSMS、電話の音声ガイドなどが2段階認証に使われていたため、手間がかかっていましたが、最近では認証アプリを使って簡単に認証ができるようになりました。

 具体的には、サインイン画面でアカウントとパスワードを入力した後、スマートフォンに表示された認証アプリの画面で[承認]ボタンをタップするだけと簡単です。

 この方式を有効にしておけば、万が一、自分以外の第三者がサインインしようと試みた際でも、あなたのスマートフォンに認証画面が表示されるため、第三者がサインインできないうえ、悪用されそうになっていることがすぐにわかります。

 2段階認証は以下の手順でセットアップできます。

  1. 2段階認証の有効化
  2. アプリのインストール
  3. アプリの設定

 まずは、2段階認証を有効化します。Microsoftアカウントのwebページの[セキュリティとプライバシー]から有効化しましょう。

[セキュリティとプライバシー]で[その他のセキュリティ設定]をクリック。[2段階認証のセットアップ]をクリックしてウィザードを進める

 ウィザードを進めると、認証アプリを使うプラットフォームの選択画面が表示されます。Windows Phone、Android、iPhone/iPadを選択できるので、普段使っているスマートフォンを選択します。

プラットフォームを選択。ここではiPhoneを使って認証する

 プラットフォームを選択すると、端末側のセットアップ手順が表示されます。iPhoneの場合は、App Storeから「Microsoft Authenticator」アプリをダウンロードし、アプリにMicrosoftアカウントを設定します。

App Storeで「Microsoft Authenticator」で検索してアプリをダウンロード
アプリを起動後、[アカウントを追加]をタップしてMicrosoftアカウントを入力。本人確認が要求されるので、ここではメールやSMSでの確認を選択して実行

 アプリの設定が完了したら、設定ページに戻り、[次へ]をクリックすると2段階認証が有効化されます。

 このとき、アカウント回復用のコードが表示されます。アカウントにアクセスできなくなったときに必要になるので、コードを大切に保管しておきましょう。

アカウント回復用のコードは大切に保管しておく

 なお、ウィザードでは2段階認証に対応しない機器やソフトウェア用に、そのアプリ専用のパスワードを発行することができます。Outlookでメールを受信する場合などは、アプリパスワードを発行して、Outlookにそのパスワードを設定しておきましょう。

 これで2段階認証の設定は完了です。以後、Microsoftアカウントでサインインするときやアカウントのセキュリティ設定を表示しようとすると、サービス側に[アカウントの保護]の画面が表示されると同時に、スマートフォン側にも承認を求める通知が表示されます。

サイト側に承認要求が表示される

 アプリ側で[承認]をタップすると、その情報がインターネット経由でやり取りされ、サイト側にサインイン可能になります。

スマートフォン側にも同じコードの要求が表示されるので承認の可否を選択する

 なお、[承認]をタップすると即座にサインインできてしまうので、画面上に表示されたコードをよく確認し、サイト側とスマートフォン側のコードが必ず同じことを確認してから承認しましょう。見知らぬ要求を承認してしまうと、第三者にアカウントの利用を許可してしまう可能性があります。

 このように2段階認証まで設定しておけば、万が一、パスワードが漏洩したとしても、第三者にアカウントを乗っ取られる可能性をかなり低くすることができます。普段の本人確認の手間も減らすことができるので、この機会に、アカウントの設定状況を確認し、同時にアプリでの認証を設定しておくことを強くお勧めします。