発端は、とても簡単なことでした。 「彼の人」に、インターネットゲーム内のチャットで馬鹿にされたことです。 私がミスをしたのは認めますが、「ざっこｗ」「やめちまえ」などの罵詈雑言を浴びせられるほどの内容ではありませんでした。また、それまでのコメント内容から、年端もいかない若者だということを感じており、自尊心を余計に傷つけられました。 そこからすぐに行動を起こしました。 まず、彼の人のゲームアカウント名の末尾から、誕生日を推定しました。あるアカウント名がすでに使用されている場合、数字をつけて独自性を付ける方がいらっしゃいますが、ランダムな数字をつけるのが億劫だとして、ご自身の誕生日をつける方がいらっしゃいます。面白いですよね。 次に、ゲームアカウントと紐づいたSNSアカウントを確認します。自分のゲーム技術が高いと考えている人だったので、頻繁にプレイ動画を投稿されていたのと、事の発端の件も発信されており、すぐに見つけられました。ここから、ゲームアカウントとは別のアカウント、特に日常の発信をしているアカウントを特定しました。ここから、日々の発信内容から、大学生であると推定し、アカウントの数字と組み合わせて、生年月日を仮に定めました。 ここで、SNSアカウントにて公開されていたメールアドレスは、フリーメールアドレスが使われていました。二段階認証やデバイス確認の無い、セキュリティの低いものでしたので幸いでした。このフリーメールサービス上で、時間がありましたので、ブルートフォースアタックを仕掛けてみました。アカウント名と誕生日の組み合わせにて実施し、378回目（アカウント名から連想されるニックネームとは思いませんでした）にて突破しました。アカウント情報から、生年月日を取得しました。推定通り大学生（2年生くらい）でした。しかし、少しはセキュリティ意識があり、ブラフの誕生日を入力しているかもしれないことを考えて、まだこの8桁の数字は「推定」という扱いです。 アカウント乗っ取りにて取得したアドレスのメールから、そのアドレスを使用した他のネットサービスを複数特定しました。その中から比較的セキュリティの低い（パスワード失念時は生年月日で本人確認を実施）ものを選び、ここまでで得た生年月日からパスワードの再申請を行い、フリーアドレスに帰ってきた新パスワードから、アカウントの乗っ取りを実行できました。なお、再申請せずにログインできたサービスも複数ありました。入力制限回数内でパスワードのアナグラム（数字や記号の入れ替え）をログイン時に試し、成功したものです。パスワードのパターンもここで把握できました。パスワードのパターンが、2個だったのは大変興味深かったです。 さて、乗っ取りできたアカウントにはネット通販サービスのものがありました。大手のものではありませんが、地方のネットスーパーのものです。ここには、配送するために当然の如く、住所が入力されていました。確認すると、私の自宅からそう遠くない場所で、ラッキーでした。また、配送の連絡用でしょうか、アカウント情報に電話番号もあり、とても有益なアカウントでした。 ここまでの流れで、アカウントのパスワード再設定用のアドレス情報から、メインのアドレスを取得できました。ただ、厄介なことに、少し古い表現かもしれませんが、GAFAの中の一つのサービスでした。ご存じの通り、セキュリティは高く、ログインには二段階認証に、デバイス確認と、本人のデバイスを直接操作しないとどうしようもないものです。下手にアクセスすれば、足がついてしまいます。リモートによる作業では、ここまでが限界のようです。