Gmailアカウントへの不正アクセスで流れてきたメールのURLにアクセスしてみた

はじめに

昨年末からインターネット上で騒がれているGmailアカウントへの不正アクセス1, 2ですが，これが原因で送信されたであろうメールが自分のところにも来ました．スパムメールに記載されていたURLの先に興味があったので，調査した結果とGmailを乗っ取られない様にするための2段階認証の紹介したいと思います．

注意

仮想環境で調査しています．普段使用しているOSのブラウザ等でURLへアクセスしないでください．なお，プロの調査では無いため，内容に誤り等がある可能性があります．参考程度にとどめてください.

URLにアクセスしてみた

普段から勉強会やコミュニティで交流のある方のGmailのアドレスより下記の図のようなURLがひとつぽんと書いてあるだけのメールが複数の宛先へ送信されていました．このURLの”wp-content/themes”より，WordPressが踏み台に利用されているんだろうなということがなんとなく想像できます…

後でご本人に確認するとこれまでにあったGmailアカウントへの不正アクセスと同じ様にアメリカからのアクセスがあり，その時刻はこのメールが送信された時刻とほとんど同じでした．メールが大量に送信されただけで，幸いにもGoogleDriveやカレンダーの情報を削除されたり改変されたりはしなかったようです．
さて，このままURLをクリックすると何があるかわからないので，URLを控えて．仮想環境へ移動しアクセスしました．すると，

You are here because one of your friends
have invited you.
Page loading, please wait…

と大きめな文字で表示されて，すぐ別のサイトに飛ばされるように設定してあり，一見するとニュースサイトの様なページが表示されました．しかし，リンクはすべて自分のサイトの今いるページになっているようで，ハリボテサイトであることがすぐに解りました．
このページ内に書いてあるJavaScriptを見ると，金銭を要求するような文言（？）が書いてあるポップアップが出たようで，とくに危険なコードのダウンロードをさせそうなコードは見当たりませんでした．（素人の調査ですので，どこに何が残っているかわかりません．受信してもアクセス　せずに破棄してください．）

受信したメールのURLから飛ばされる先のサイトはすでにシャットダウンされているようで，もうアクセスすることができませんが，URLを変えて今日もどこかで獲物を待ち構えている悪いサイトがあるのだろうとおもいます…

アカウントに不正アクセスされないように

Gmail（Googleアカウント）は通常のパスワード認証に加えて，2段階認証というものを使用することができます．これは，パスワード認証の後に，事前に登録した電話番号にSMSか音声通話で確認コードが送信され，その確認コードを入力してGmailのアカウントにログインするというものです．

設定方法の詳細については，「Gmail 乗っ取り 二段階認証」などで検索するといっぱい出てきますのでそちらを参照してください．なお，スクリーンショット付きでわかりやすいのがいい！って方はこことかここがおすすめです．

おわりに

他人に迷惑をかけない，自分のアカウントが悪いことに利用されないに加えて，GoogleDriveやカレンダー等の内容を改竄や削除，流出などされると，更に大きなダメージを受ける人もいると思います．（自分もそうです．）そんなことをされないためにも多少手間は増えますが，Gmailの2段階認証を導入したり，他のSNSやサービスは，KeePassや1Passwordなどのパスワードマネージャーを使用して，特殊文字を使用した長めのパスワードに変更するなど，安全にWebを使うためにしっかり自衛をしなくてはいけないですね…