メールアドレス乗っ取りの原因と対策！乗っ取られた場合の対処法も紹介

2021年9月1日2022年11月21日セキュリティ

メールアドレスが他人に知られてしまうと、少なからずリスクが生じます。
しかし、乗っ取られた場合の対処法や、未然に防ぐ方法もあるのでご安心ください。

本記事では、メールアドレスの乗っ取りについて、以下の点を紹介します。

• メールアドレスの流出と乗っ取りの違い
• メールアドレスが乗っ取られる原因や仕組み
• 乗っ取りによって起こる被害
• 乗っ取られたときに行うべきことや対処法
• 乗っ取りを未然に防ぐ方法

乗っ取られる仕組みを知って、しっかり対策をするだけで、リスクは大幅に軽減できます。安心してインターネットを使えるように、ぜひご覧ください。

メールアドレスの流出と乗っ取りの違い

メールアドレスの乗っ取りと聞いて「迷惑メール」を思い浮かべる方も多いのではないでしょうか。

しかし「パスワードが破られてメールアドレスが乗っ取られること」と「メールアドレスのみが収集されて迷惑メールが届くこと」は、まったく別の話なのです。

メールアドレスが流出しても、パスワードを突破されなければ、不正アクセスはされません。一方、乗っ取りは字のごとく、勝手にログインして本人になりすますことが可能。被害も計り知れません。

本記事では、メールアドレスの乗っ取りについてお伝えしていきます。迷惑メールについては「迷惑メールから身を守る方法や受信した時の対処」で詳しく説明していますので、ぜひご覧ください。

メールアドレスが乗っ取りされる原因や仕組み

メールアドレスの乗っ取りには、メールアドレスとパスワードの2つの情報が必要です。

つまり、乗っ取られる大きな原因は「推測されやすいメールアドレス」と「簡単なパスワード」を設定していること。

この2つについて、どのように推測されるのか、原因や仕組みを解説します。

メールアドレスが収集される2つの原因や仕組み

顧客リストなどが流出するニュースを度々耳にしますが、実は漏洩したメールアドレスに対して、乗っ取りが仕掛けられている訳ではありません。

では、どのようにアドレスが集められているのでしょうか。メールアドレスが収集される原因には、主に以下の2つがあります。

1. 公開ドメイン+よく作られるアドレスで推測
2. プログラム等で自動収集

1. 公開ドメイン+よく作られるアドレスで推測

ドメインは公開情報なので、第三者でも確認可能です。特に、WebサイトのURLに使われているドメインなら、すぐにわかります。

メールアドレスは「ドメイン+文字列」から成り立つので、文字列部分を推測できればメールアドレスがわかるという仕組みです。

以下は、作成される可能性が高いメールアドレスの一例です。

• admin
• root
• web
• info
• test
• postmaster

上記のような文字列とドメインを組み合わせて、アドレスを探し当てているのです。攻撃者にドメインを把握されるだけで、ある程度のメールアドレスは推測されると考えられます。

なお、ドメインとメールアドレスの関係については「ドメインとメールアドレスの関係と仕組み。ドメインメールについても説明」の記事で詳しくお伝えしています。ぜひそちらも参考にしてください。

2. プログラム等で自動収集

Webサイト上に掲載されているメールアドレスが、プログラム等で自動収集されている場合もあります。たとえば、問い合わせ先として載せているメールアドレスなどです。

メールアドレス収集については「迷惑メールから身を守る方法や受信した時の対処」にも記載していますので、ぜひそちらもご覧ください。

パスワードを破られる2つの原因や仕組み

パスワードを破られる原因については、主に以下の2つが挙げられます。

1. パスワードが簡単
2. パスワードの総当たり攻撃

1. パスワードが簡単

簡単なパスワードとは、たとえば下記のようなパスワードです。

• パスワードの文字数が少ない
• 数字だけ・アルファベットだけの単純なパスワード
• メールアドレスの文字列の一部と同じ
• 個人情報から推測できる

個人が特定できている場合は、名前のローマ字表記や誕生日などで、パスワードが破られることもあります。

2. パスワードの総当たり攻撃

パスワードの総当たりとは、考えられる文字列の組み合わせをすべて試す手法です。ブルートフォースアタックとも呼ばれています。

プログラムなどを利用して、このような総当たり攻撃を仕掛ける攻撃者も、少なからずいます。

以上が、メールアドレスが乗っ取られる大きな要因です。「メールアドレスの推測」と「パスワードの突破」の2つを防ぐことが、鍵となります。

メールアドレスの乗っ取りをされると起こる3つの被害

メールアドレスを乗っ取られると、実際にどのような問題があるのでしょうか？考えられる被害としては、以下の3つが挙げられます。

1. メールを盗み見られる
2. フィッシングサイトへの誘導等に利用される
3. ドメインやサイトが利用出来なくなる

1. メールを盗み見られる

メールアカウントにログインされるため、サーバー上に残ったメールはすべて見られる状態となります。

プライバシーを保てないだけでなく、関係者しか知り得ない機密情報が流出してしまうなどのリスクもあります。

2. フィッシングサイトへの誘導等に利用される

アドレス帳に登録されている知人へ、勝手にスパムメールを送られることも。不特定多数への迷惑メールの発信元アドレスとして使われてしまう場合もあります。

3. ドメインやサイトが利用出来なくなる

停止にはならない場合も、不正利用と判断されることで、ドメインの価値が下がる可能性は否定できません。

メールアドレスが乗っ取りされた場合の2つの対処法

メールアドレスが乗っ取りされた場合の対処法は、主に2つあります。

1. パスワードを変更する
2. システムやサーバーのサポートへ連絡

乗っ取られたことがわかったら、まずはログインできるか試してみてください。ログインできるのであれば、早急にパスワードを変更することが適切な対処法です。

また、すでにパスワードを変えられていてログインできない場合は、メールサービスやサーバーのサポートへ連絡しましょう。

メールアドレスが乗っ取りされた場合に行うべき2つのこと

メールアドレスが乗っ取りされた場合、パスワード変更等の他にも行うべきことが2つあります。

1. 乗っ取られたことをアドレス帳の登録者へ報告
2. PC・スマホ等でウィルスチェックを実施

1. 乗っ取られたことをアドレス帳の登録者へ報告

本記事内でも紹介したように、乗っ取られた場合、アドレス帳に登録されている人へスパムメールが送られる可能性があります。

「迷惑メールを開いてウィルスに感染する」などの二次被害を避けるためにも、知人へ連絡して、以下2点を伝えましょう。

• 乗っ取りにあったこと
• 不審なメールが届いても開けないでほしいこと

2. PC・スマホ等でウィルスチェックを実施

PC・スマホ等のデバイスにウィルスが仕込まれていないか、忘れずにウィルスチェックを行いましょう。一般的なセキュリティソフトを使えば大丈夫です。

万が一、ウィルスが検出されたら除去を実行します。さらに、除去後にパスワードを再度変更すると安心です。

メールアドレスの乗っ取りを未然に防ぐ5つの方法

ここまで、乗っ取りにあった場合の対処法をお伝えしてきましたが、できれば未然に防ぎたいものです。メールアドレスの乗っ取りを防ぐ方法としては、以下の5つが挙げられます。

1. 不正アクセスの対策がされているサーバーを使う
2. 複雑なパスワードを設定する
3. 2段階認証を設定する
4. メールアドレスが収集されるのを防ぐ
5. 不審なメールやリンクをクリックしない

1つずつ見ていきましょう。

1. 不正アクセスの対策がされているサーバーを使う

独自ドメインでメールアドレスを作るなら、まずは不正アクセス対策が強化されているサーバーを選ぶことが重要です。

たとえば、弊社が提供するコアサーバーでは、以下のような対策を施しています。

• パスワードの入力間違いが一定数を超えたらIPブロックを実施
• 単位時間当たりの送信を制限
• メールアカウントのパスワード自動変更

一定回数以上の入力間違いでブロックすることで、総当たりによるパスワード突破を防げます。

また、何らかの理由で乗っ取られた場合にも、単位時間当たりの送信を制限していると、フィッシングメール等への利用を最小限に抑えることが可能です。

とは言え、制限を強め過ぎると一般ユーザー様の利便性が下がってしまうため、傾向をみながら制限を調整するといった対応もしています。

2. 複雑なパスワードを設定する

破られにくいパスワードを設定することは、もはや必須と言えます。

本記事内で紹介したような簡単な文字列や、個人情報から推測できるパスワードは避けましょう。

また、他のサービスと同じパスワードを使い回ししないことも大事です。異なるパスワードを設定しておけば、何かのきっかけで1つが流出しても、他のサービスへの不正アクセスは防げます。

3. 2段階認証を設定する

利用中のサービスで2段階認証が可能であれば、設定しておくと安心です。

2段階認証とは、IDやパスワード入力以外にも、SMSなどで本人確認が必要となる認証方法。万が一パスワードが流出しても、不正アクセスされません。

たとえば、Gmailでは2段階認証の設定が可能です。

また、様々なサービスで2段階認証を取り入れたい場合には、弊社サービスのValue-Authがおすすめです。

Value-AuthはメールやSMSによる2段階認証を、Webサービスなどに導入できるサービス。たとえば、ご自身のWordPressサイトへのログインに組み込むこともできます。

SMS10通・メール100通までは月額料金0円なので、セキュリティを万全にしたい方は、ぜひValue-Authをお試しください。

4. メールアドレスが収集されるのを防ぐ

メールアドレスを把握されないようにする意識も大切です。具体的には、以下の2点を気をつけると良いでしょう。

• インターネット上にアドレスを書き込まない
• @より前を予測されにくい文字列とする

5. 不審なメールやリンクをクリックしない

怪しいメールやリンクをクリックするのも避けましょう。

迷惑メールや不審なリンクへアクセスすると、自動的にメールアドレスが何かに登録されることもあります。また、ウィルスに感染するリスクも少なくありません。

それらを防ぐために「覚えのないものはクリックしない」という意識を持っておきましょう。

まとめ

メールアドレスの乗っ取りによる被害は、フィッシングメール等の配信だけに留まりません。ドメインまで利用停止になるおそれもあるのです。

しかし「推測されやすいメールアドレス」と「簡単なパスワード」を避けるだけで、リスクは大幅に軽減できます。

また、不正アクセス対策を強化しているサーバーの利用や、2段階認証の設定も効果的です。

弊社のコアサーバーであれば、パスワードの入力間違いによるIPブロックや、単位時間当たりの送信も制限できます。セキュリティを万全にしたい方は、ぜひコアサーバーをご利用ください。

これらの対策をしっかりと行い、乗っ取りを未然に防いで安全なサイト運営を行いましょう。