情報処理推進機構(IPA)は7月26日、「安心相談窓口だより:IPA 独立行政法人 情報処理推進機構」において、パスワードの使い回しなどが原因で、フリーメールのアドレスを詐称して友人・知人に対してなりすましメールが送信されるといった新たなセキュリティ被害が多数確認されているとして注意を喚起した。
IPAが受けた相談は、「利用しているフリーメールのアドレスを送信元とした(詐称した)なりすましメールが送信されている」「なりすましメールは友人・知人など(受信トレイにあるメールの送信元アドレスなど)宛てに送信されている」「フリーメールサービスのログイン履歴に不審な記録は見られない」「フフリーメールサービスのログインパスワードを変更してもなりすましメールの送信は止まらない」といった特徴が見られるという。
IPAは、相談者が利用していたフリーメールサービスには、メールソフトやスマートフォンなどのモバイル端末からメールを送受信できる機能が提供されているが、この機能では、メールソフトからログインした場合、履歴が記録されないと指摘している。
こうした状況から、IPAは被害が発生した経緯について、第三者が何らかの方法で入手した情報を悪用し、メールソフトからフリーメールサービスに不正にログインした後、メールの情報(受信トレイにあるメールの送信元アドレスなど)を窃取し、窃取したアドレス宛に別のメールサーバからなりすましメールを送信していると推測している。
この方法でなりすましメールを送信された場合、もとのフリーメールのアカウント情報を変更しても意味がなく、繰り返しなりすましメールを送信される可能性がある。
これ以上の不正アクセスを食い止めるには、パスワードは推測されにくいものに変更することが推奨されている(当然、パスワードを使い回してはいけない)。次にメールアドレスそのものを変更するとともに、以前のメールアドレスから送られてくるメールにはフィルタをかけるように関係者に連絡するなどを対応を取ることが紹介されている。