「Microsoft アカウントのパスワードのリセット」というメールが届いた

IT / machinery
IT / machinery

 Microsoftアカウントチームから、私が普段使っているGmailのアドレス宛に「Microsoft アカウントのパスワードのリセット」という表題のメールが届きました。
 私は、Microsoftに対してパスワードのリセットなどは求めていないのですが。

 このメールがどのようなもので、何のために送られたのかと言うことが分かっていれば、慌てる必要はないのですが、知らなければ突然のことでびっくりしてしまうかも知れません。

 ネット上を検索すると、このような事例が割とあるようです。
 今回は、私にも実際に起こった事例として、参考の意味で記事にしました。


結論

 先に結論を書きます。

 このメール自体は、正規のものでフィッシングでも何でもありません。
(これを装った詐欺というものが、もしかするとあるのかも知れませんが)

 しかしながら、自身がMicrosoftアカウントに対して、パスワードのリセットを求めたものでなければ、このメールに従って何らかの操作してはいけません。

 このメールが届くということは、故意か誤ってかは別にして、誰かがあなたのMicrosoftアカウントにログインを試みた(パスワードが通らない又は分からないので、リセットしようとした)、と考えられるからです。

 リセットコードが第三者に届かない限り、勝手にリセットされることは無いと思いますが、ともかく怪しいものには近づかない、反応しないのが一番です。無視しましょう


メールの中身

 メールの中身は、以下のようなものです。

 パスワード リセット コード
 このコードを使って、Microsoft アカウント 〇〇〇〇(私のMicrosoftのメールアドレス) のパスワードをリセットしてください。
 お客様のコード: 〇〇〇〇(コードが記載されている)
  Microsoft アカウント 〇〇〇〇(私のMicrosoftのメールアドレス) に心当たりがない場合、ここをクリックしてメール アドレスをそのアカウントから削除できます。

 パスワードをリセットするためのコードを送ったので、これを使ってパスワードをリセットして下さい、という内容です。
 私は別にパスワードリセットなど求めていないのですが。

 なお、末尾の「心当たりがない場合」くだりですが、アカウントのメールアドレスは間違いなく自分のものなので、「削除」されては困ります。

 一体これは何が起こっているのでしょうか。


どのような手順で送付されるものなのか

 このメールはパスワードを忘れてしまった時など、Microsoftアカウントにログインできなくなった時の救済方法の一つとして送付されるものです。

 Microsoft アカウントのパスワードを忘れてしまった場合、パスワードの入力画面にある「パスワードを忘れた場合」をクリックして進んでいくと、本人確認のため「パスワード リセット コード」を本人宛メールアドレスや電話(SMS)に送付する、という手順になります。

 詳細は、こちらのMicrosoftのサポートページの記載のとおりです。

 送られてきた「パスワード リセット コード」をその後の手順で入力することでパスワードがリセットされる、という流れです。

 そして、Microsoftアカウントにリカバリー用のメールアドレスを登録している場合には、そのアドレスが送付先として自動でセットされます。
 私の場合は、Gmailのアドレスを登録していました。

 つまり、今回の場合は、私のMicrosoftアカウントに関して、誰かが「パスワードを忘れてしまった」という操作をして、冒頭のメールがGmailに送られてきた、と考えられます。


対応方法

 自分自身がパスワードのリセットを求めていないのであれば、「何もしない」というので良いと思います。

 ただ、私の場合は1回きりで終わりましたが、ネット上の情報では、同じメールが何日も続いて送られてきて困ったという人もいるようです。(同一人物が繰り返しているか、複数人に狙われたのか)
 これを終わらせるには、最終的には、アカウントを別のものに切り替えるしかないと思いますが、そうなるとメールアドレスも変更になりますし、色々と面倒です。

 そこまでしなくとも、気持ち悪いのであれば、念のため、パスワードを変更しておくか、もっと良いのは、パスワードを削除(パスワードレスの設定を)しておくのが良いと思います。
 こちらのサポートページ「Microsoft アカウントでパスワードレスにする方法」を参照して下さい。

 パスワードレスにするには、スマホでMicrosoft Authenticatorアプリを設定しておく必要があります。
 Authenticatorアプリについては、「Microsoft Authenticator を使用してサインインする」を参照ください。
 また、万が一Authenticatorアプリがうまく動かない、スマホが故障などの場合に備えて、複数のリカバリー方法を登録しておきましょう。

 その一つとして、パスキーによるログインも設定しておくのが良いと思います。
 (「パスキーを使用したサインイン」を参照ください)

 ここら辺のことは、機会があればまた記事にしたいと思います。

 ちなみに、パスワードレスにしているアカウントについても、このリセットのメールを送ることができるようです。
 詳細は試していませんが、パスワード以外の利用中のログイン方法が使えなくなった時の回復のために使われるのでしょう。


補足

 私はパスワードは利用せず、普段はAuthenticatorアプリを利用してログインしているのですが、実は、Gmailに冒頭のメールが届く直前、Authenticatorアプリが反応し、ログインの認証が要求されました。

 ログイン操作はしていないのにおかしいな、と思って、認証を拒否しました。
 その直後に冒頭のメールが届いたわけです。

 故意か誤ってかは不明ですが、誰かが私のアカウントにログインしようとしていたのは間違いありません。

 また、うっかり何気なく認証を許可していたら、その誰かが私のアカウントにログインできていたことになります。

 Authenticatorアプリを使った認証は仕組み上は安全性は高いと思いますが、操作自体はパスワードの入力などよりも簡単ですし、他人がログインしようすることなど思ってもみなかったので、ついうっかり認証してしまうと大変なことになりかねませんでした。
 この辺りもしっかり意識を持っておかないといけない、とあらためて思いました。

 

 

スポンサーリンク

コメント

タイトルとURLをコピーしました