こんにちは。リクルートCSIRTのきっかわです。 リクルートCSIRTでは、定期的にアカウントが乗っ取られた!という相談をよく受けます。では、どのように乗っ取られるのでしょうか?ヒアリングをしてみると多くが以下のケースでした。 ・別のWebサービスがログイン情報を漏えいしていた。 ・その別のWebサービスとログイン名とパスワードが同じだった。 いわゆるリスト型攻撃で乗っ取られているケースです。ログイン情報を多くのサービスで使い回しているとこうした乗っ取りが行われる可能性があります。みなさん、ログイン情報を使い回していませんか? 乗っ取られるとどのようなことが起こるでしょうか。相談を受けたケースの被害は、怪しいリンクのメッセージを送るケースが大半でした。リンクが無意味なものなら良いですが、ウイルスなどをインストールさせるものだったら大変です。 また、Google Driveのようなクラウドス
![アカウントが乗っ取られたら・・・ | Recruit Tech Blog](https://cdn-ak-scissors.b.st-hatena.com/image/square/b9696317586d6745cf7564991e940ea1234e0ebc/height=288;version=1;width=512/https%3A%2F%2Ftechblog.recruit.co.jp%2Fassets%2Frtc%2Fthumbnail%2F2437.png)