2025年もいよいよ終わりが近づいてまいりました。今年もいろいろあったなあ……と思いつつPCで作業していたら、なにやらミシミシと音がするではありませんか。「なんだろPCの排熱ファンからの音かな」と思ってデスクの後ろに回り込んでみると、モニターアーム(とモニター)の重さに耐えかねたのか、デスクの天板が割れていたのでした……。
トホホな年末ではありますが、トホホついでに今年の反省ネタを、今回の「鵜の目『鷹木』の目」で紹介します。なんと私の「Netflix」アカウントが、知らないインドネシア人に乗っ取られてしまった話です。しかも、乗っ取られてからしばらく気付きませんでした……。
なぜこうなってしまったのか、被害を防ぐにはどうすればいいのかを考えます。
トホホな年末ではありますが、トホホついでに今年の反省ネタを、今回の「鵜の目『鷹木』の目」で紹介します。なんと私の「Netflix」アカウントが、知らないインドネシア人に乗っ取られてしまった話です。しかも、乗っ取られてからしばらく気付きませんでした……。
なぜこうなってしまったのか、被害を防ぐにはどうすればいいのかを考えます。
突然、Netflixがインドネシア語になっていた
私は普段、Netflixをあまり使っていなかったこともあり、最初は乗っ取りに気付きませんでした。
ある日、歴史ドラマ「イクサガミ」を見ようと久々にNetflixにログインしたところ、言語設定がインドネシア語に変わっていたんです。「あれ? バグったのかな?」と思って日本語に直してイクサガミを見たんですが、翌日、さらに異変が起きます。
イクサガミの続きを見ようと翌日に再びログインしたら、またインドネシア語になっていたんですよ。日本語に直したけれど、その後またインドネシア語になっていた。「これはバグじゃないな、乗っ取られたかも」と、ようやく気付きました。
確認するため、自分のプロフィールにパスワードでロックをかけてみました。すると、その後、インドネシア語の新しいプロフィールが勝手に作られていて。「やられた」と確信しました。ログインIDとパスワードが漏洩していて、インドネシア人に不正アクセスされて、勝手に動画を見られていたんです。
乗っ取りに気付いてすぐ、インドネシア語のプロフィールを削除し、パスワードを変更。さらに2段階認証を設定し、クレジットカードも変えて、ようやく一段落しました。
そういえばNetflixから「変な地域からアクセスがありますが大丈夫ですか?」という通知は何度か届いていました。インドネシアなど海外からのアクセスの場合は「自分ではない」といちいち否定していたのですが……。
そういえば、乗っ取られている期間中、Netflixのレコメンドの内容が変わっていて、インド映画の「バーフバリ」みたいな作品がおすすめに並んでいたのは、面白かったですけどね。
ある日、歴史ドラマ「イクサガミ」を見ようと久々にNetflixにログインしたところ、言語設定がインドネシア語に変わっていたんです。「あれ? バグったのかな?」と思って日本語に直してイクサガミを見たんですが、翌日、さらに異変が起きます。
イクサガミの続きを見ようと翌日に再びログインしたら、またインドネシア語になっていたんですよ。日本語に直したけれど、その後またインドネシア語になっていた。「これはバグじゃないな、乗っ取られたかも」と、ようやく気付きました。
確認するため、自分のプロフィールにパスワードでロックをかけてみました。すると、その後、インドネシア語の新しいプロフィールが勝手に作られていて。「やられた」と確信しました。ログインIDとパスワードが漏洩していて、インドネシア人に不正アクセスされて、勝手に動画を見られていたんです。
乗っ取りに気付いてすぐ、インドネシア語のプロフィールを削除し、パスワードを変更。さらに2段階認証を設定し、クレジットカードも変えて、ようやく一段落しました。
そういえばNetflixから「変な地域からアクセスがありますが大丈夫ですか?」という通知は何度か届いていました。インドネシアなど海外からのアクセスの場合は「自分ではない」といちいち否定していたのですが……。
そういえば、乗っ取られている期間中、Netflixのレコメンドの内容が変わっていて、インド映画の「バーフバリ」みたいな作品がおすすめに並んでいたのは、面白かったですけどね。
乗っ取り犯はなぜパスワードを変えなかったのか
そもそも、私のパスワードは結構漏れているみたいで……。Webブラウザのパスワード管理機能から「4000件ぐらい漏洩しています」と警告が出るほどでした。
パスワードは手動で設定していて、ベースとなるパスワードに、各サイトに関連する文字などを組み合わせて使っていました。ただ、そのベースのパスワード自体が、ほぼ漏れているんです(苦笑)。
パスワードに使われるアルファベットと英数字、記号の組み合わせはパターンが限られているから、総当たり攻撃に弱い。2バイト文字の日本語で設定できれば、攻撃側にはかなりの負荷になるはずだから、日本語で設定できればいいのになあ。
乗っ取られて意外だったのは、乗っ取り犯が私のNetflixのパスワードを変更しなかったことです。パスワードを変えてしまえば、私がログインできなくなり、完全に乗っ取ることもできたはずなのに、そのままだったので、私もログインでき、被害に対応できました。
なぜ犯人は、そんなことをしたのでしょうか。一説によると、海外では流出したIDとパスワードが、まるで正規のものであるかのように販売されていて、それを購入した人が「自分も正規ユーザーだ」と思い込んで見ていることがあるそうです。IDもパスワードも「正規ライセンスで、変更してはいけない」と信じていたから、変更しなかったのかもしれません。
また、パスワードを変えてしまうと、私に通知が届いたり、私がログインできなくなったりして、乗っ取りにすぐ気付いた可能性もあります。そうなったら、犯人も使えなくなってしまうから、あえて変えなかったのかも。
どちらにせよ、正規ユーザーである私のIDとパスワードをそのまま使い、インドネシア人が私に“寄生”するような形で、使い続けていたわけです。今回は設定がインドネシア語に変えられていたため乗っ取りに気付きましたが、もし犯人が毎回、日本語設定に戻していたら、もっと長い間気付かなかったと思います。
パスワードは手動で設定していて、ベースとなるパスワードに、各サイトに関連する文字などを組み合わせて使っていました。ただ、そのベースのパスワード自体が、ほぼ漏れているんです(苦笑)。
パスワードに使われるアルファベットと英数字、記号の組み合わせはパターンが限られているから、総当たり攻撃に弱い。2バイト文字の日本語で設定できれば、攻撃側にはかなりの負荷になるはずだから、日本語で設定できればいいのになあ。
乗っ取られて意外だったのは、乗っ取り犯が私のNetflixのパスワードを変更しなかったことです。パスワードを変えてしまえば、私がログインできなくなり、完全に乗っ取ることもできたはずなのに、そのままだったので、私もログインでき、被害に対応できました。
なぜ犯人は、そんなことをしたのでしょうか。一説によると、海外では流出したIDとパスワードが、まるで正規のものであるかのように販売されていて、それを購入した人が「自分も正規ユーザーだ」と思い込んで見ていることがあるそうです。IDもパスワードも「正規ライセンスで、変更してはいけない」と信じていたから、変更しなかったのかもしれません。
また、パスワードを変えてしまうと、私に通知が届いたり、私がログインできなくなったりして、乗っ取りにすぐ気付いた可能性もあります。そうなったら、犯人も使えなくなってしまうから、あえて変えなかったのかも。
どちらにせよ、正規ユーザーである私のIDとパスワードをそのまま使い、インドネシア人が私に“寄生”するような形で、使い続けていたわけです。今回は設定がインドネシア語に変えられていたため乗っ取りに気付きましたが、もし犯人が毎回、日本語設定に戻していたら、もっと長い間気付かなかったと思います。
鷹木 創
編集主幹
2002年以来、編集記者や編集長などとしてメディアビジネスに携わる。インプレス、アイティメディアと転職し、2013年にEngadget日本版の編集長に就任。 その後スマートニュースに転職。国内トップクラスの機械学習を活用したアプリ開発会社においてビジネス開発として活躍。2021年からはフリーランスとして独立、IBM、Google などのオウンドメディアをサポートしている。
-
1
小学生がどハマりする生成AIキャラクター「イタリアンブレインロット...
-
2
あったか&快適!モンベルのメリノウールインナーとフィンガーレスグロ...
-
3
手のひらに収まるサプライズカメラ「Kodak Charmera」の...
-
4
ネトフリ、アマプラで年末に一気見したい!非日常を満喫する映像作品6本
-
5
Google Pixel 9aを選ぶと後悔するの?スペック数値だけ...
セキュリティキャンペーンでのバナー
-
1
小学生がどハマりする生成AIキャラクター「イタリアンブレインロット」の中毒性と拡散力
-
2
あったか&快適!モンベルのメリノウールインナーとフィンガーレスグローブで冬支度
-
3
手のひらに収まるサプライズカメラ「Kodak Charmera」の小ささ×ランダム性×レトロ質感
-
4
ネトフリ、アマプラで年末に一気見したい!非日常を満喫する映像作品6本
-
5
Google Pixel 9aを選ぶと後悔するの?スペック数値だけでは分からない実力を実機でチェックした