Zohoメールとの付き合いはもう10年以上になるのですが、はじめてハッキングの被害にあったので、その経緯と顛末について書き留めておこうと思います。ちなみに個人向けの無料のZohoメールの話です。
Zohoメールを使いはじめた経緯
ちょっと長いですが、私がZohoメールを使う以前はどうだったのか、そして何故Zohoメールを使うようになったのかを書いておこうと思います。
Zohoメールを使う以前のメール利用
私がZohoメールを使い始めたのは2009年頃でしたが、それ以前はまだスマホも現在のように普及しておらず、SNSもそこまで普及していませんでした。なので仕事やプライベートでの連絡の主役は電話かメール、使う機器は固定電話、携帯電話、そしてPCでした。
その頃は仕事柄外出も多く、モバイルPCを持ち歩き、外出先でメールチェックなどをすることも多くありました。また使っているPCも職場用1台、モバイル1台、家に2台とあり、メールの数も1日数百件もありました(全部に目を通していたわけではありませんが)
私の場合、仕事用・プライベート用のどちらのメールも、職場でも家でも外でも、つまりどこでも見れるようにしておく必要があったので、それぞれのPCにメールクライアントをインストールしていました。
当然、各PCのメールクライアントを起動させる度にメールサーバーからダウンロードされます。他のPCでダウンロードされたメールでも、そのPCのメールクライアントでは初めてであれば、同じメールがまた新たにダウンロードされることになるのです。もちろん一度ダウンロードしたらサーバーから削除する設定にもできましたが、そうすると整合性がとれなくなるのでしませんでした。なので他のPCで既読のメールも、新しくダウンロードすれば未読のままとなっていました。そしてメールを送信すれば、その送信したPCのメールクライアントにしか送信履歴は残りません。
つまり今のようにクラウドで共有されていなくて、せいぜいオンラインストレージでファイルを各PCで共有させていたくらいです。
Thunderbirdポータブルを知る
そこで、不便を感じていた私は何か便利なものはないかと探し、利用者の多いメールクライアントであるThunderbirdにポータブル版がある事を知りました。このThunderbirdポータブルはPCにインストールすることなくデスクトップやUSBメモリーに入れて使うことができる、当時の私には画期的なアプリでした。
そこでそのThunderbirdポータブルを、当時私が使っていたオンラインストレージに置いて使ってみることにしました。その当時は無料だった(現在は有料の)SugarSyncという、アプリでPCと同期できるオンラインストレージです。
これでオンラインストレージで各PCと同期すれば、いつでも最新の状態のメールクライアントを見れると思い喜んでいたのですが、実際はそんなに甘くありませんでした。
Thunderbirdポータブルはオンラインストレージで同期するには不向きだった
Thunderbirdなどのメールクライアントソフトは仕組みとしてDBを使用しています。なのでThunderbirdポータブルを起動し、閉じる度にDBファイルが書き換えられるので、同期型のオンラインストレージで使用している場合は、毎回そのDBファイルまるまる1個分の同期が行われます。例えばメールを1件送信又は受信しただけで、あるいは1件削除したり、1個フォルダを作ったりしただけでDBファイルが書き換えられるため、いつも同期にかなりの時間と通信量が必要になるのです。
たった1件のメールなんて、結構な長文だとしても、テキストファイルであれば大概は同期するのは一瞬です。添付ファイルがあったとしてもたかが知れています。でもDBファイル1個分まるまるとなると、そのDBファイルの大きさにもよりますが、私のように大量のメールがストックされておそらく大きくなったDBファイルであれば結構な時間がかかってしまいます。
このように、大して効率が良くないことがわかったので、結局オンラインストレージでThunderbirdポータブルを同期する方法はすぐにやめました。
ThunderbirdポータブルをUSBメモリーで使う
そこで今度はUSBメモリーにThunderbirdポータブルを入れて使うことにしてみました。この方法は、各PCでメールクライアントをインストールして使う方法や、Thunderbirdポータブルをオンラインストレージで使う方法に比べ、各段に便利になりました。
メールクライアントが一元化されることで、各PCへのインストールのように、同じメールを新規でダウンロードする手間・時間はかからず、送信メールもPC別に分散保存ということにもなりません。常に最新状態になります。また、オンラインストレージのように同期に時間がかかってしまうというような事もありません。手間と言えば、毎回USBメモリーをPCに挿す必要があるということくらいで、大したことではありませんでしたし、USBメモリーを用意するのもそれほどの負担ではありませんでした。
ただ、いいことばかりではなく、デメリットもありました。私の場合複数のPCでいろいろな場所で作業するため、USBメモリーを常に持ち歩き、なくさないように気を付けなくてはならなかった事です。もしなくしたらメールのデータを全て失う事になりますし(バックアップは適時とっていましたが完全ではありませんでした)、誰かに拾われて悪用でもされたら大変な事になります。(幸い無くすことはありませんでしたが)
さらに、メールの容量が増えたり、Thunderbirdポータブルがアップデートやバージョンアップしたりしてアプリ自体の容量が大きくなってきた場合、USBメモリーも容量の大きいものに買い替えなくてはならなかったことや、買い替えたUSBメモリーの転送速度が遅くて、使いづらくなったので再度別のUSBメモリーを用意したりしたことなどもデメリットと言えるでしょう。
とは言え気に入っていたこともあり、しばらくの期間、Thunderbirdポータブル+USBメモリーの組み合わせを使い続けていました。
でも悲劇は突然やってきました。最大の失敗の要因は、USBメモリーのボディーが金属製のものを使用した事です。
ある冬の日、いつものようにPCにUSBメモリーを挿し込んだ時、パチッと音がして指に痛みが走りました。そうです。静電気です。私の肌が乾燥していなければ、あるいは部屋の空気が乾燥していなければ起こらなかったかもしれません。でもUSBメモリーのボディーが静電気の起こりづらいプラスチック製であればそもそも起こらなかったかもしれません。
急いで保存されていたデータを確認してみましたが、やはりダメでした。何も見えませんでした。最新のバックアップは2週間前にとってあったので、それを別のUSBメモリーに入れて使うことで最悪の事態は免れましたが、ちょっとショックでした。
失ったのは2週間分のメールデータです。もしかしたらその中に見逃していた大事なデータがあったかもしれません。そう思い、諦める前に復元できるか調べました。
調べた結果、どうやら自力での復元は不可能なようなので、実績のある業者に復元を依頼することにしました。そして約1週間後、業者からの返答は、復元できなかったとう残念なものでした。「誤って削除してしまった」とか、何かの操作によるソフト的要因で壊れたものであれば回復も可能だったようですが、静電気による物理的な要因で壊れたものは復元はほぼ不可能だということでした。まぁ当然と言えば当然の事ですが。
WEBメールをいろいろ調べてZohoメールにたどり着く
そしてようやくWEBメールへのシフトを考えるようになってきました。もちろん個人の、それもあまり重要でないメールアカウントには、無料で使用可能なGoogleのGmailやYahooのYahooメール、そしてMicrosoftのHotmail(現Outlookメール)など主流なものから、それほどメジャーではないものまでいろいろと使用していましたが、ビジネスでの使用はしていませんでした。
そこで、仕事とプライベートのアカウントをPOP連携可能で一元化でき、私がそれまで使っていたThnderbirdやOutlookExpressといったメジャーなメールクライアントとデザインや操作性が似ている無料のWEBメールを探しました。
当然GmailやYahooメール、Hotmailなども機能や操作性をチェックし、検討はしましたが、当時はまだ使い勝手が悪く、機能面もイマイチで、それらを使うくらいならリスクを承知でThunderbirdポータブル+USBメモリーを使い続けた方がましだと思っていました。
そんな中、Zohoのメールを見つけました。Zohoは、Google Workspace(旧G Suite)やMicrosoft365のような、オンラインビジネスアプリ群で、Zohoメールはその中の一つの機能です。
当時はまだ使っている人も少なく、ネットでの情報もあまり見当たりませんでした。また、Zohoメール自体は日本語化されていたものの、マニュアルやヘルプ、QAも英語が中心で、現在のように簡単にWEBやアプリで翻訳できる時代でもなかったので、何か不明な点があったり、トラブルが起きたときにちょっと苦労しそうだと感じました。
ただそれ以上にデザインや操作性が使い慣れたメールソフトに近く、メールアカウントのPOP連携も簡単で、仕事でも使えそうだと感じ、魅力的に思えたので使ってみる事にしました。
そうして少しずつアカウントを移行し、重要なメールは全てZohoメールに集約することにしました。
人によっては他のWEBメールやメールクライアントソフトの方が使いやすく便利だったかもしれませんが、当時の私にとってはZohoメールが一番しっくりくるものでした。
Zohoのアカウントがハッキングされた
以下に、10年以上メインのメールクライアントとして利用していたZohoメールが何故ハッキングされたのか、それをどうやって気付いたのかについて書こうと思います。
Zohoから見慣れないメールが届く
先日、受信したメールを確認していたら、「次のアカウントに対して自動取得を無効にしました」というタイトルのメールが届いていました。送り主はZohoでした。内容を確認すると、
「アカウント(〇〇〇〇@zohomail.com)は、Zoho メールでPOPによるメールの取得を設定済みです。このアカウントのメールを取得中にエラーが発生しました。このアカウントの認証に失敗したためです。このためこのアカウントのメールの自動取得を無効にしました。ZohoでPOPの設定を変更して、もう一度自動取得を有効にしてください。ありがとうございました。」
とだけ書かれていました。
文面にあるメールアドレス(〇〇〇〇@zohomail.com)は、このメールが届く2カ月くらい前に、私が新たに作成したZohoのサブアカウントのアドレスで、メインのアカウントでもそのメールを見ることが出来るようにPOP連携していたものです。つまりメインのZohoメールを開けば、メインとサブの両方のメールも見れるようにしていたのです。
このサブアカウントは、20年以上契約していたSo-netの固定回線を解約しようと思い、解約するとSo-netから提供されていたメールアドレスも使用できなくなる為(実際はアドレス保持の為の費用を月額で払えば使用継続可能)、So-netのアドレスで登録していたものを移行する為に新たに作成したものです。
20年以上も使っていたので、So-netのアドレスで登録している箇所もかなり多く、またSo-netのアドレスで登録していたものであることをわかりやすくするため、既に使用している別のメールアドレスに集約するのではなく、別途新たに作成しようと考えたのです。
そして先述したように私は、仕事やプライベートで他にもいくつかのメールアドレスを使用していて、それをZohoメールを開くだけで全てのメールアドレスが確認できるように集約化しています。
そして今回Zohoから届いたメールは、メインのZohoアカウントにPOP連携して集約していたメールアドレスの一つが、何か不具合を起こして連携できなくなったので設定を直して、再度連携するようにとの内容だとわかりました。そしてその対象のメールアドレスが使い始めたばかりのZohoのサブアカウントだったという事です。
設定を見直し、再連携を試みる
早速Zohoメールの設定の「POPアクセス」を開き、連携させたPOP設定の一覧を見てみると、他の連携されているアカウントにはチェックマークがついていて正常に連携されていることが示されていたのですが、該当のアカウントは一覧には載っているものの、チェックマークがついていませんでいた。
そしてそのアカウントのアドレスにテストメールを送っても、サブアカウントでログインしたZohoメールを見るとちゃんと届いているのを確認できましたが、メインのZohoメールからは見ることが出来ませんでした。つまり完全にPOP連携が外れているということです。
そこでPOPアクセスの設定を見直し・・・と言ってもこれまで正常に連携されていて何も変更していないので、何故連携が外れたのか理由がわかりませんでした。
サブアカウント自体は生きている。そして設定は変えていない・・・ネットであれこれ調べても、似たような事例こそあるものの、同じ事例や解決策は見当たりませんでした。
仕方なく時間を置いて再連携を試みたり、設定内容を変えて何度か再連携をトライしてみましたが、毎度毎度
「{0}の認証に失敗しました。アカウント情報を確認してください。○○○○zohomail.com」
というメッセージが表示されるだけで回復はしませんでした。なので該当アカウントを一回POPアクセスの一覧から削除し、再度連携させてみようと試みました。
しかし残念ながらそれもダメでした。それどころか、一回削除してしまったら、今度は連携できないだけでなく、何度やり直してもPOPアクセスのアカウント一覧に加える事さえ出来なくなってしまったのです。
別アカウントを作成して、再トライしてみる
困った私は、さらに別のZohoアカウントを新規に作成しました。最悪の場合、当初のサブアカウントを捨てて新規のサブアカウントで運用すればいいと思い、そのアカウントをメインのZohoメールに連携させようと試みました。当然何の問題もなくうまくいくと思っていたのですが、驚いた事に連携を外されたアカウント同様、POPアクセスの設定を何度やってもはじかれてしまいました。
もしかしたら連携できるアカウントの数に制限があるのかと思い調べてみましたが、上限はわかりませんでした。ただ、過去にもっと多くのPOPアカウントの連携をしていた事もあり、また当日まで該当のアカウントも連携できていたのでこの線は消しました。
ならばメインのZohoの仕様や規約などが変わったのか?と考え、Zohoから来た通知やサイトのヘルプや機能の説明のページを見ましたが、何も見つかりませんでした。
そこで、Zohoではない別のメールアドレスを試しにPOP連携させてみたところ、今度はすんなりうまくいきました。ということは、Zoho同士での連携に問題があるのか、連携させようとしたサブアカウントに問題があるのかという事だとわかってきました。
連携をはずされたサブアカウントを見直してみると・・・
連携を外されたZohoのサブアカウントの設定をどのようにしたのか、メインのZohoアカウントの設定と比較しながら、もう一度見直すことにしました。
サブアカウントのZohoメールの設定に関しては、特に怪しい点は見当たりませんでした。そこで今度はZohoアカウント自体の内容を確認しました。
するとセキュリティー項目の中に「サインイン中のデバイス」という欄があり、そこにZohoアカウントにサインインしたデバイスの一覧が表示されているのですが、そこには自分でZohoにログインしたスマホやPCなどの機器の種別の他、ログインした大体の場所が示されていました。しかしメインの方にはないのにサブアカウントの方にだけ、見慣れないものも含まれていました。
デバイス名が「メールクライアント」で場所がアメリカ。しかもカリフォルニア州とコロラド州。
私はPCかスマホでしかアクセスしていないし、デバイス名がメールクライアントって一体何だろう?そしてアメリカからサインイン。Zohoはインド発祥らしいのですがアメリカの会社なので、Zohoからのアクセス?だとしても2か所で別の州からのアクセスってことは・・・
まさかハッキングされたのか?そしてそれが原因でZoho側のセキュリティー対策でメインのアカウントとのPOP連携がはずされたのだ、とそこでようやく気付いたのでした。
「サインイン中のデバイス」欄の中に表示されている「メールクライアント」が何を指すのか、Zoho関連のサイトをいくら調べても直接の説明は見つからなかったのですが、Zohoの言う「メールクライアント」というのは、ZohoのメールアプリやZohoのWEBメール以外のメールクライアントの事だと判断できました。Thunderbirdなどのメールアプリや、GmailやOutlookなどのWEBメールの類です。
つまり今回のハッキングは、Zoho以外の他のメールクライアントを使って私のZohoのサブアカウントのメールアドレスをPOP連携させたことによるもので、Zoho側がそれを察知して、そのアカウントが他からのPOP連携ができないようロックをかけたのだ、と私は推測しました。その影響でPOP連携が外され、再設定ができないのだと。
POPの再連携と今後の為のセキュリティー対策
ここではPOPの再連携ができるまでの経緯と、今後は簡単にハッキングされない為に私が行ったセキュリティー対策を書きたいと思います。
まず、設定内容を確認してみる
元々使用していたZohoのメインのアカウントは10年以上前に登録したもので、その時はメールアドレスだけで登録できました。なのでパスワード紛失時などに役立つ携帯電話番号は登録しておらず、今もそのままです。登録後何年かして、セキュリティーの為の「2段階認証」としてログイン時にSMSでワンタイムパスワードを送る設定にしたのですが、そこにはそのSMS用の携帯電話番号は登録されています。面白いことに、この番号はアカウントに関連付けされた携帯番号ではなく、あくまでも2段階認証用の番号として登録されているのです。
現在は登録時にメールアドレスに加えて、携帯電話番号が必要となっています。ここで登録する番号は当然アカウントに関連付けされた番号であり、1番号で1アカウントしか登録できません(後から知った事ですが)
私は最初のサブアカウントを登録する際、メインアカウントの2段階認証用の携帯電話と同じ番号で登録しましたが、すんなりと通りました。しかし、2つ目のサブアカウントも同じ番号で作ろうとしたら拒否されました。既に1つ目のサブアカウントで使っているからです。このことから、アカウントに関連付けされた携帯番号と2段階認証用の番号は別物として扱われているのだとわかりました。ちなみに私は携帯番号を2つもっていたので2つ目のサブアカウントで登録できました。
ただ、サブアカウントはアカウントに関連した携帯番号は登録してあったものの、2段階認証は設定していませんでした。私は当初それが原因でセキュリティーが甘くなりハッキングされたのだと思いました。なので、POP連携をはずされてハッキングに気付いた後になってから、2段階認証の設定をしようとしたのですが、残念ながら設定できませんでした。Zoho側からは送信できているように見えるのですが、SMSがスマホに届かないのです。もしかしたらメインの方で認証用に使っている番号だからダメなのかと思い、違う携帯番号で設定しようとしましたが、それもダメでした。
あるいは私が使っている携帯キャリアのソフトバンク側の問題なのかと思い、私が使用しているYahooのアカウントからSMS認証を試してみたところ、Yahooの方はちゃんとソフトバンクのスマホに届きました。
これはもう、Zoho側がSMS認証の設定をできないようロックをかけているか、携帯キャリア側が危険なアドレスだと察知してブロックしているのかのどちらかなのかと勝手に思いました。
メールの送受信はちゃんとできるのに、2段階認証の設定はできないという状態。結局本当のところはどういう状態なのかわからないままでした。
2段階認証の設定ができなければまたハッキングされる恐れもあるので、せめてパスワードだけでも複雑にしておこうと思い、とびきり長く、記号や数字もランダムに加えて設定しました。
Outlookからの転送が停止されていた
ちなみにですが、私は別の用途で使用しているOutlookのメールアドレスをZohoのサブアカウントにいったん転送させて、さらにそれをメインのアカウントで見ることが出来るようにするという複雑な設定をしていました。ですが、ハッキングされたとはいえ、ちゃんと送受信できるはずのサブアカウントにOutlookからの転送メールが届いていない事に気付き、Outlook側の設定を見ると、転送設定がいつの間にかOffになっていました。
私のZohoのサブアカウントがハッキングされたのをOutlook側でも察知し、自動で転送を停止させたのだとわかりました。そこで、サブアカウントのパスワード変更後に再度Outlookの転送設定を有効にして様子を見ることにしました。
ただ、ZohoからもOutlookからもハッキングされた危険なアカウントとしてマークされてしまったので、半分諦めて、メインのアカウントにPOP連携している別のメールアドレスを代用しようかと考えていました。
POP連携の回復と再ハッキング
別メールアドレスでの代用を考えつつ3日後くらいにダメ元でメインのアカウントからサブアカウントのZohoのPOP連携の設定を再度試してみました。すると何と、今度は何故かできたのです。
おそらくパスワードを変更し、ある程度の時間が経ったのでZoho側も安全とみなしてPOP連携ができるようになったのではないかと思います。Outlookからの転送もちゃんと行われていました。ただ、一度狙われたアカウントは何度も狙われやすいようですし、POP連携が回復したとはいえパスワードを複雑にしただけで、2段階認証の設定はできなかったままなので、必ずしも安心というわけではありませんでした。
なのでしばらく様子を見て、ずっとハッキングされなければ良しとし、ハッキングされたら別のメールアドレスを使うなり何か方法を考えようと思いました。
POP連携が回復してからちょうど2週間が経った頃、案の定また前回と同様のメール(POP連携が無効になったという通知メール)がZohoから届きました。今回は2回目なのでそれほど驚きもなく、セキュリティー対策が足りていないことも自覚していたので「やっぱりされたか」という思いでした。
ただ、パスワードをどんなに長く複雑にしてもあまり関係なかったようです。相手が機械であれば解読するのは簡単だったのでしょう。
そして再度ハッキングされたサブアカウントに転送設定していたOutlookの方も、転送設定がまた勝手にOffになっていました。まったくもって前回と同じです。ここでそのZohoアカウントを捨て、別のメールアドレスに切り替えようかとも思いましたが、切り替えはいつでもできるので、もう一度アカウントの回復とセキュリティー強化をトライしてみることにしました。
再々POP連携とセキュリティー強化
今回も前回同様パスワードを変更してしばらく時間を置き、POP連携を回復させ、Outlookの転送設定も有効にしました。
ただこのままだと3度目のハッキングがされることは簡単に想像できます。
そこで今まで設定できなかった2段階認証を再々度試してみることにしました。すると今度はどういうわけか設定できてしまいました。何故最初のハッキングから回復した際は設定できなくて、2度目のハッキングから回復した今回は設定できたのか、理由を見つけることはできませんでしたし、いまだに謎のままです。
それはそうと、2段階認証を設定できたことで、10年以上使用していてハッキングされた事のないメインアカウントと同様のセキュリティーにできたので一先ずは安心できました。
ただ、ハッキングのサインイン履歴のデバイス名が前回同様「メールクライアント」であったことが少し気になりました。
Zohoの場合、PCのWEBやアプリからアカウントにサインインする場合は2段階認証が有効です。スマホのアプリはそのスマホの携帯番号と連携しているのでこれも大丈夫です。ただ、Zoho以外の他のメールクライアントからZohoのメールアドレスをPOP連携しようとするときは2段階認証はスルーされてしまいます。なので前回と今回のようにPOP連携を使ったハッキングには2段階認証は役に立たないかもしれません。
そこでアカウントの管理画面を見直してみたのですが、そこに「アプリ専用パスワード」という欄がありました。どうやら外部連携する際の、アカウントとは別のパスワードを設定できるようです。
早速そのアプリ専用パスワードを作成することにしました。このパスワードは自分で任意の英数字を選んで設定することはできず、完全に自動生成のパスワードになります。
アプリ専用パスワードを生成し、メインのZohoアカウントのPOP連携の際のパスワードも新パスワードに書き換えました。これでさらにセキュリティーを強化することができたような気がしたので、やっと安心してサブアカウントも使用できる、と思いました。一応今回はこれで解決としました。
もちろんZohoには他にもセキュリティー対策として、スマホのアプリでQRコードを読み込ませるものや、物理キーを使うもの、信頼できるブラウザの登録(2段階認証)や、IPアドレスの制限によるものなどが用意されていますが、私の使用環境、利便性との兼ね合いでこれらは設定してません。(メインのアカウントはより重要なので、スマホアプリによるセキュリティーは追加しましたが)
メインのアカウントは最初に設定したきりで、今回の件があるまでアカウント管理画面や設定画面を見る事はほとんどありませんでした。サブアカウント設定時も、当初は適当に設定していたのでそれほど機能を良く見ていませえでした。なので、デザインや仕様、機能がかつてとは変わっている事に私は気づきませんでした。
今後は時々管理画面や設定画面を見て、セキュリティーにももっと気を付けようと思いました。
長々と書いてしまいましたが、以上が、ハッキングされてから回復するまでの一部始終の覚書です。