何者かにSteamアカウントのパスワードリセットを試みられる

メールボックスにSteamアカウントのパスワードリセット時に送られてくる”Steam account – Forgotten password‏”という件名のメールが届いていました。
これはSteamから送られてきたと見せかけてIDとかパスワードを入力させるフィッシングだな?と思って見てみましたが、どうも本物のようでした。
何者かがログイン画面で自分のIDを入力し、パスワードを忘れた時の手続きを試みられたようです。

こういう場合は何か対応する必要があるかと思ってフォーラムを当たってみましたが、「自分のメールボックスに攻撃者がアクセスできない限りSteamのパスワードはリセットできないからそう心配しなくていい」という情報がありました。確かにその通りですね。

攻撃者がパスワードをリセットするには、

1.Steamのアカウントとアカウントと紐づいているメールアドレスをペアで知る
2.Steamでパスワードを忘れたときの手続きを取る
3.メールボックスにログインし、リセット用のコードを入手する
4.リセット用のコードを入力し、”秘密の質問”に答える

これで攻撃成功となります。
Steamのアカウントはあてずっぽうに文字列を試していけば有効なアカウントにたずね当たるかもしれませんが、それとペアになっているメールアドレスを知るというのはちょっと大変そうです。
ただ、Steamアカウントとメールアドレスに関連性があると攻撃が容易になる恐れがあります。Steamアカウントとメールアドレスの文字列は全く無関係な方がより良いと言えそうです。

また、仮にメールボックスのパスワードまで知られてしまっていたとしても、Steamのパスワードリセット時に秘密の質問を入力する設定にしておくとギリギリ助かる可能性があります。
秘密の質問の設定は任意ですが、できれば設定しておいた方がセキュリティ上は好ましいと言えそうです。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

スパム対策のため、日本語が含まれないコメントは投稿できません。