楽天アカウントに不正ログインがあったのでパスワードを初期化した旨のメールが届いたので原因を調べた

突然「【楽●天】パスワード初期化のご連絡」という題名のメールがあり、楽天のパスワードを初期化したらから新しいパスワードを設定するようにという内容でした。

明らかにフィッシング詐欺のようなメールで警戒していたのですが、楽天のヘルプを検索すると、

楽天ではお客様に安全なサービスを提供できるよう対策を行っており、不正なログインやサービス利用が行われないよう、楽天会員登録のパスワードの初期化を行い、その旨のお知らせをお送りする場合がございます。【楽天市場】ヘルプ

とあり、送信アドレスも楽天（rakuten.co.jp）のものだったので、楽天から送られたマジメールだったようです。

楽天にログインしてみるとログインできなくなっているのでパスワードが初期化されたのは事実なようです。

届いたメール内にあるパスワードの再設定ページからパスワードを再設定し、ログイン履歴から怪しいログイン情報を探したところ原因がなんとなくわかったので、ログイン履歴の調べ方と併せて紹介します。

ログイン履歴の確認

「楽天 」へアクセスしログイン後、画面右にある「会員登録情報・変更」をクリック。

「my rakuten」のページが開くので先程クリックした位置の近くに「その他情報を表示」があるのでクリックし、「ログイン履歴」をクリック。

ログイン履歴一覧が表示される。

このログイン履歴で怪しいIPアドレスを探す。

重複もあるがよく調べると3つのIPアドレスがログインしていた。

・自分のIPアドレス
・157.7.223.150
・54.238.255.49

IPアドレスの情報を調べる

「ドメイン/IPアドレス【whois情報検索】」を使ってIPアドレス
について調べる。

調べたいIPアドレスを入力し、「下記の「ご注意・制約事項」を確認下さい」にチェックを入れ「管理情報紹介実行」をクリック。

結果が表示されるので「逆引きホスト名」から推測する。

IPアドレス「157.7.223.150」のホスト名は「bot-swkcndgk.moneyforward.com」なのでマネーフォワードのボットだということがわかる。

これはクラウド会計ソフトの「MFクラウド確定申告」を使って楽天銀行の口座と連携しているため問題はない。
参考：「freeeとMFクラウド確定申告を比較！良いとこと悪いとこをまとめてみた！」

次に「54.238.255.49」を調べてみるとAmazonのAWSを使っている。

結果の下に表示される「whois情報」を見てもAmazonの情報しか出てこない。

IPアドレスからの推測はできなかったが、僕が楽天IDを登録している別のサービス「Zaim」が怪しかったので「Zaim」の履歴を調べてみる。

「Zaim」にログインし、画面右上の「設定」をクリックし、「金融機関」をクリック。

連携している金融機関の一覧が表示され、最新更新時間を確認できる。ここでは「2015/06/25 18:10」となっていた。

先程の楽天のログイン履歴を見てみると、「2015年6月25日(木) 18時9分27秒」に「54.238.255.49」からのログイン履歴があり、その時間前後にログイン履歴がないので「54.238.255.49」は「Zaim」からのアクセスだと考えられる。

2015年6月30日追記：取得元のIPアドレスを変更したため今は上記IPアドレスでは無い。逆引きDNSを設定したようなので、IPからZaimだと分かりやすくなっている。
追記終わり。

以上で自分のアカウントにログインしているのは自分自身とアカウントと連携したサービス2つだと判明し、悪意ある第三者からの不正アクセスではないと結論づけた。

パスワードリセットの原因

今回の一件で実は思い当たるフシがある。それは、Zaimと楽天アカウントを連携させた時に入力した「追加認証」だ。

追加認証とはIDとパスワード以外のヒミツの質問。「飼っているペットのなまえは？」のような質問。

楽天IDの追加認証をしないとZaimと連携できなかったので、追加認証の答えを入力したところ楽天から、

楽天銀行からのお知らせ[追加認証によるログインがありました]

という題名のメールが1日1回送られてくるようになった。

内容は「下記日時に、追加の本人認証によるログインがありました。」だけで、詳しい情報は載っていない。

このメールが届き始めた当時に「Zaim」のログイン時間と重なっていたので「Zaim」が楽天の情報を取りに行ったんだなと思ってスルーしていた。

怪しいIPアドレスからのログインが見当たらないことと、このメールが毎日届いていたことを考えると、「Zaim」の追加認証によるログインが不正ログインと判断された可能性が高い。

「Zaim」との連携を切ってしばらく様子をみてみたい。

2015年6月28日追記：Zaimもこの件に関して認識したようです。進捗状況は「不具合 : お知らせ | Zaim」で確認できる。
追記終わり

2015年6月30日追記：楽天の情報を取得するのにIDとパスワードに加えて誕生日も必要になったため、ログイン失敗が続き不正アクセスとなった可能性がある。「不具合 : お知らせ | Zaim」
追記終わり。

おわりに

パスワード管理は「1Password」を使い、すべてのサービスごとにユニークで自分でも覚えられない英数字の羅列にしているので安心していましたが、IDとパスワードを入力する連携サービスには無意味でした。

サービス連携時にIDとパスワードを入力するのは確かに気が引けましたが、便利なサービスなので登録してしまいました。

カード情報や銀行口座などとの連携はとても便利なので、外部連携用の制限付きAPIなどで安全に連携してくれるようになれば良いなと思います。

パソコンやスマホのセキュリティ対策も重要ですのでウィルス対策ソフトは必ず入れましょう。

【旧商品】ノートン セキュリティ 3年版(Windows/Mac/Android/iOS対応) [オンラインコード]

Amazon 楽天 Yahoo!