フリーツール/シェアウェア

2012年12月22日 at 3:01 AM

Gmailアカウントをのっとられる被害が急増中 ~ クラックする手法を紹介します

2012/10/4 アメーバニュース セキュリティ設定を見直そう! Gmailアカウント乗っ取りに要注意!

 

GoogleのWebサービスを利用するのには、Googleのアカウントが必要ですが、基本的にこのアカウント名には、Gmailのメールアドレスを設定している人が多いです。

 

通常の認証サービスであればアカウント名とパスワードの組み合わせがわからないと他人のアカウントをのっとることはできませんが、Googleについては、アカウントについては上述理由で推測がついてしまいます。

 

どのようにしてパスワードを知るのか?

1.解析ツールを使用する

「Wondershare WinSuite 」などの、パスワードを忘れた際に確認できるツールを利用します。無料でもあるので「Password Finder」などのワードでぐぐってみるとよいでしょう。

 

諸々のソフトウェアやWebアプリケーションは、レジストリやcookie、Web Storageなどに情報の保存を行います。これらの情報を展開するツールを使えば一発でパスワードを取得することができます。

 

ネットカフェなどの共有パソコンでGoogleアカウントにログインする際は充分注意が必要です。

 

 2.総当りツールを利用する

じかに端末を操作できない場合は、ネット経由でパスワードをさぐるしかありません。用いられるのはGoldenEye.exeなどのブルートフォース系パスワード解析ツールです。ただし何回も誤ったパスワードを入力すると、その旨の警告が対象アカウントの登録メールアドレス宛に飛びます。

 

最近、他のユーザーがアプリケーションを使用して Google アカウント○○○@gmail.com にログイン しようとしました。Google では、このアカウントへの アクセスが不正ユーザーによるものであった場合に備 え、このログインをブロックしました。詳細について は、以下の情報をご確認ください。

2012年11月22日 11時12分34秒 UTC IP アドレス: XXX.XXX.XXX.XXX 場所: Denver, CO, USA

 

3.フィッシングサイトを利用する

偽装したサイトを利用し、ユーザーに個人情報を入力させます。Twitter連携アプリにみられるように、「このサービスを利用するには、Googleアカウントのユーザ名、パスワードを入力してください」とでもすれば簡単に収集できます。

 

4.人的な方法で探る

Gmailのメールアドレスでぐぐってみると、その人が運用しているブログやTwitter、facebookなども特定できると思います。そうしてプロフィール情報を収集し、「パスワードを忘れたので教えて欲しい」との旨ヘルプセンターに連絡するという原始的な方法が逆にもっともよく使われる手法です。

 

 

アカウントをのっとられたら何をされるか?

まずGmailにログインし、のっとったアカウントがやり取りしていたメールアドレスのリストを収集されるようです。

そしてまた同じ手順でまた別の人間のGoogleアカウントの乗っ取りを試行していきます。

 

自分宛のメールが飛んできたり、送っていないはずのメールが送信履歴に残っていたら疑ってください。

 

 

Leave a Reply

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>



こちらの関連記事もオススメ!