マイクロソフトは、増加の一途を辿るHotmailアカウント乗っ取り問題への対応に取り組んでいます。マイクロソフトは、ユーザーがHotmailのパスワードをより適切に保護し、侵害されたアカウントをより容易に回復できるように設計された新しいセキュリティ制御を導入しました。
約3億6000万のアクティブHotmailアカウントを抱えるMicrosoftのWebベースのメールサービスは、事実上、トップのWebメールプラットフォームです。Yahoo!メールとほぼ互角で、GoogleのGmailを大きく上回っています。Microsoftが3億6000万人もの潜在的な攻撃対象者を抱えていることは、Hotmailにとって非常に大きな脅威であり、攻撃者にとって魅力的な標的となっています。
アカウントの乗っ取りは、HotmailのようなWebベースのメールサービスにおいて蔓延しており、増加傾向にあります。侵害されたアカウントや乗っ取られたアカウントは、検出が困難な場合があり、回復はさらに困難です。攻撃者が重要な情報を改ざんし、正当な所有者がアカウントにアクセスできなくなり、回復が極めて困難になる可能性があるためです。
Inside Windows Live のブログ記事には、「アカウントがロックされた場合でも、パスワードを忘れた場合でも、アカウントを復元する最も早い方法は、アカウント証明を使ってパスワードをリセットすることです。証明はスペアキーのようなものです。事前に設定しておけば、後から自分が正当なアカウント所有者であることを証明するために使用できます」と記載されており、「これまで、代替メールアドレスと、秘密の答えを組み合わせた個人的な質問の2種類の証明を提供してきました」と付け加えています。
こうした証明はさまざまなアプリケーションや Web サービスで比較的標準化されていますが、問題となるのは、代替の電子メール アドレスは簡単に発見できること、母親の旧姓や高校に通った都市名などの秘密の答えも見つけられること、そのため攻撃者が回避するのが難しくなることです。
Microsoftは、個人的な雑学クイズではなく、デバイスの物理的な所有に基づく2つの新たな証明を導入します。Microsoftは今後、ユーザーが「信頼できるPC」を指定できるようにし、指定されたPCから操作を行う限り、Hotmailアカウントをリセットする最高権限を付与します。また、Hotmailユーザーは携帯電話番号を追加し、Hotmailから秘密のリセットコードを記載したテキストメッセージを送信することもできます。
さらなる保護策として、MicrosoftはHotmailメンバーに対し、認証情報の追加または変更を行う際に既存の認証情報の使用を義務付けています。Inside Windows Liveブログ記事では、「例えば、アカウントに既に予備メールアドレスの認証情報が設定されていて、携帯電話番号も追加したい場合は、予備メールアドレスを使用する必要があります。つまり、たとえハイジャッカーにパスワードを盗まれたとしても、アカウントをロックアウトされたり、バックドアを作られたりすることはないということです。いつでもアカウントを取り戻し、ハイジャッカーを追い出すことができます。」と説明されています。
攻撃者はフィッシング攻撃やマルウェアなどを用いて個人情報やパスワードを盗み出し、Hotmailアカウントを乗っ取る可能性がありますが、攻撃者が個人のパソコンや携帯電話にもアクセスできる可能性は低いでしょう。新しい管理機能により、ユーザーはHotmailアカウントの保護と復旧がはるかに容易になります。
