Gyazo アカウントに不正アクセスされた話

Gyazo ロゴ

はじめに

スクリーンショットソフトとしても、画像共有サービスとしても使いやすいので、Gyazo をよく使っている。しかし、そのアカウントに不正アクセスされてしまった。

原因

先に言ってしまえば原因はパスワードの使い回しである。

私はいくつかのパスワードを使いまわして、chrome に保存していた。(最近は chrome にパスワード自動生成機能が付いたが、当時は自分で作るのが面倒だったのだろう)

少し前に LastPass を導入し、パスワードを強固なものに変えていっていたのだが、Gyazo はまだ変えていなかった。基本的にログインしっぱなしで、そもそもログインしなくても使えるという Gyazo の性質上、アカウントの存在があまり印象に残っていなかったのも一因だろう。

事件の流れ

Gyazo はアカウント登録することで過去のスクショを一覧表示できる。無料会員だと、直近の10件だけ見ることができ、それ以前のものはグレーアウトされたサムネイルでのみ確認できる。

しかしある日画像一覧ページに向かうと、すべての画像がカラフルに表示された。

一瞬仕様が変わったのかとも思いつつ、不審に思い設定ページを見ると、何と勝手に課金されていた!しかもメールアドレスが全く知らないものになっていた。

まず慌ててメールアドレスを変更した。パスワードが変更されててもメールアドレスさえ自分のものならリセットできるからだ。

次にパスワードを変えた。設定画面ではやはり現在のパスワードが違うと言われたので、”パスワードを忘れた” からリセットした。

次に、犯人が課金していてくれているので、過去の画像を全て確認した。(逆に言えばその画像が目当てなのだろう)

いくつかの画像に、自分の名前や住所が映っていた。手遅れだろうがそれらの画像を削除した。

(そもそもなんでそんな画像が Gyazo に上がっているのかと言えば、例えば控えておかなければならない注文番号があった時、パソコンでスクショして画像ページをそのまま開いたままにしとけば、chrome の「 他のデバイスからのタブ 」でいつでも確認でき、自分宛てにメールしたりクラウドストレージに保存するより簡単だったからである)

そしてサポートに連絡すると、調査するとのこと。その後やはり不正アクセスだろうとの返事が来た。

まとめ

パスワード使いまわしダメ、ゼッタイ。

今は LastPass と yubikey を使っている。みんなも使おう。

それにしても、犯人は個人情報が欲しかったのか、私の弱みを握りたかったのか目的は分からないが、いずれにせよ欲しい情報があるとも限らないのに 490 円を払う価値があると判断されたのはとても怖い。今頃ブラックマーケットで売買されているのだろうか。