3流プログラマのメモ書き

元開発職→社内SE→派遣で営業支援の三流プログラマのIT技術メモ書き。 このメモが忘れっぽい自分とググってきた技術者の役に立ってくれれば幸いです。(jehupc.exblog.jpから移転中)

Skype(Microsoft)アカウントが乗っ取られた

知り合いからSkypeで変なリンクが送られてきてクリックするとアンチウイルスの警告が出たとの連絡を受けました。
MicrosoftSkypeが統合される前に作成し、ずっと使っていない古いアカウントでした。

ログインして会話の履歴を見てみるとたしかにリンクを送られています。 f:id:deloreanmc12:20180521012116j:plain

このリンクを調べてみるとリダイレクトして以下のようなページに飛ばすようになっていました。 f:id:deloreanmc12:20180521012133j:plain:w400

どうやらGoogleを装った詐欺サイトのようです。

PCを乗っ取られた形跡は無いので、不正アクセスされたようです。2段階認証は設定せず、SkypeIDとパスワードだけでログイン可でした。おそらく何らかの理由でSkypeのパスワードが知られてしまったものと思われます。セキュリティ関係の資格保持し気をつけていてもこのザマです(笑) 実際にアカウントの乗っ取りに合った記事もありました。
窓の杜:Skypeで勝手にスパムをばらまき!? もしもMicrosoftアカウントが乗っ取られたら

とりあえず、まずパスワードを再設定しました。

その後、どこから不正アクセスされたのか調べることにしました。 しかし、このSkypeアカウントはマイクロソフト統合前に作っており、まだマイクロソフトアカウントにリンクされていません。
ログオンアクティビティを調べるにはマイクロソフトアカウント側のページからしか見えないようなのです。ログオンアクティビティページを表示させようとしたら、マイクロソフトアカウントを作成させようとしました。捨てアカ用で作ればよかったんですが、ついうっかり通常使用してるGmailアドレスでアカウントで作ってしましました。
とりあえず、これでクロソフトアカウントを作成しSkypeアカウントにリンクさせたので、ログオンアクティビティが見えるようになります。

で、ログイン履歴を見ると以下のようにモルディブのIPを使ってFirefoxからログオンされたようです。まぁ実際にはプロキシや踏み台サーバー使ってユーザーエージェントも偽装しているんでしょうが。。。 f:id:deloreanmc12:20180521012202j:plain

さて、このSkypeアカウントはもう削除させようとしましたが、通常しているGmailアドレスが紐付いてるのも気持ち悪いので、リンクを変更することにしました。
マイクロソフトアカウントページで、[あなたの情報]-[サインイン用のメールアドレスまたは電話番号を管理]を表示します。
現在のプライマリエイリアスGmailのアドレスになっていますが、メールアドレスが付いているアカウントエイリアスはこれだけなので削除できません。
[メールの追加]で一旦捨て垢マイクロソフトアカウントを作成します。
その後、捨て垢用をプライマリアカウントエイリアスにし、Gmailエイリアスを削除しました。

ちなみに、マイクロソフトはそのまま使ってSkypeのIDでログオンさせないようにするには、マイクロソフトアカウントの[サインイン設定]で、SkypeIDでのサインインをさせないようにすることが可能です。(今回は削除なのでしませんでしたが。。)

Skypeアカウント(Microsoftアカウント)の削除については、Skype アカウントを終了する方法は?に手順が載っていました。 具体的には、http://go.microsoft.com/fwlink/?LinkId=523898が削除ページになるようです。

アカウント乗っ取りは無関係と思ってましたが、自分の身に起きるとセキュリティに対する認識を新たにさせられますね。不要な古いアカウントは削除する、必要なアカウントはパスワードを定期的に変更したり2段階認証を設定するといった見直しが必要そうです。

参考:
skypeが乗っ取り被害に会った時の対処方法
Skypeのアカウントが乗っ取られてスパムを送っていました。
Skypeアカウントを乗っ取られた。

追記:
乗っ取り元IPについて、The Anti Hacker Allianceで調べてみたらこの近辺のIPもよろしくないIPに上がっているようですね。cbl.abuseat.orgのブラックリストに上がっているようです。

さらに追記(5/22):
Skypeの乗っ取り、自分だけじゃないようで同時期にかなりの数のアカウントが乗っ取られているようです。Twitterでも続々と乗っ取り報告が上がっている状態です。



Skype使ってるユーザーの皆さん、パスワードの変更や2段階認証導入など検討したほうがよさそうです。
自分のSkypeに変なリンク送られてきても押下しないようご注意ください。