感覚的な話ですが、最近、アカウント乗っ取りが増えているように感じます。その背景には、アカウント乗っ取りを狙う攻撃者にとって、アカウントを乗っ取ったときのリターン(報酬)が大きくなったことがありそうです。
ビジネス面
テレワークが強く推進されたことで企業の機密情報が従来より多くクラウド上に保存されるようになった。
プライベート面
インターネットやアプリが従来よりも生活に密着してきたことで、お金になるクレジットカードや銀行口座情報が含まれるようになった。
最近だとFacebookで複数の友達から「このビデオはいつでしたか?」というメッセージが届きました。これをクリックするとFacebookのIDとパスワードの入力を求める偽サイトに誘導される、いわゆるフィッシング攻撃でした。
では、アカウント乗っ取りを予防するためには、具体的にどうすればいいのでしょうか?対策は非常に簡単です。たった2つの対策で、あなたのアカウントはほぼ攻撃の被害を受けなくなります。
ただし、あなたが芸能人や要人のように、「執拗に」攻撃のターゲットにされてしまう場合は例外です。このケースだとさらに用心深い対策をとる必要があります。でも、あなたが「大勢の中の1人」なら2つの対策でアカウント乗っ取り被害のリスクをほぼゼロにできます。
なぜこのようなことが起きるのかというと、攻撃者はたくさんの「攻撃の対象者」を持っているためです。これは非常に重要なポイントです。攻撃者はたくさんの攻撃対象者を持っているにも関わらず、「ある程度の対策」をしているあなたのアカウントだけを執拗に攻撃する理由はありません。「ある程度の対策」がされていると気づいたら、より弱い対策しかしていない対象者への攻撃に移ってくれるのです。では、あなたのアカウントを攻撃から守るために、なぜ乗っ取りが起きるのか、乗っ取りに遭わないための2つの対策について説明していきます。
このエントリーで説明する内容
・アカウント乗っ取りの仕組み
・アカウント乗っ取りを予防する2つの対策
なぜ、あなたのアカウントは乗っ取られるのか?
あなたはアカウントにログインする際にIDとパスワードを使います。攻撃者も同様に、乗っ取りにはIDとパスワードを使います。また、ほとんどのWEBサービスやアプリにおいて、IDはあなたのメールアドレスです。
では、なぜ攻撃者はあなたのメールアドレス(ID)とパスワードを知っているのでしょうか?その原因は大きく分けて2つ考えられます。
- メールアドレス(ID)とパスワードがセットで(対になって)漏れている
- メールアドレス(ID)だけが漏れている
メールアドレス(ID)とパスワードがセットで漏れている
私たちのアカウントのメールアドレスとパスワードは日々大量に漏洩しています。漏洩したアカウント情報は、ブラックマーケットで売買されていることが確認されています。これは、例えばあなたがよく利用するWEBサービスやアプリのサーバが攻撃されて、データベースに保存されているあなたの個人情報を攻撃者が不正に入手し、ブラックマーケットで売っているというようなケースです。
これを入手されてしまうと、攻撃者は簡単にログインできる状態になってしまいます。つまり、あなたに落ち度が一切なくてもメールアドレスとパスワードは漏洩し、どれだけ複雑なパスワードをかけていても簡単にアカウントが乗っ取られてしまうのです。
メールアドレス(ID)だけが漏れている
上記のケースに加えて、メールアドレスだけが漏洩しているケースもあります。これはより合法的な方法で漏洩します。例えば、あなたが名簿録のためにメールアドレスを記入してしまい、誰かがその名簿録を名簿屋に売ったようなケースを含みます。
ただ、攻撃者はメールアドレスだけを入手してもまだログインはできません。攻撃者はここからアカウント乗っ取りのためにあなたのパスワードを推測してログインを試みます。あなたがパスワードに1234やpasswordのような簡単なものを設定していたら、ほぼ例外なくアカウントは乗っ取られてしまうと考えて良いでしょう。というのも、技術的な話ですが、攻撃者は「ブルートフォースアタック」という手法で、このような簡単なパスワードは突破してしまうためです。
アカウント乗っ取りを予防する対策① 悪用されにくいパスワードの作り方
パスワードを作るときに少し工夫するだけで、アカウント乗っ取りから身を守ることができます。その前に1つだけ覚えておきたいのは「パスワードは使いまわさない」という点です。複数のWEBサービスやアプリで同じパスワードを使い回してしまうと、ある1つのWEBサービスからあなたの個人情報が漏洩すると、あなたのメールアドレス(ID)とパスワードで様々なWEBサービスやアプリにログインされてしまうためです。
でも、大文字小文字、数字を織り交ぜた複雑なパスワードをWEBサービス・アプリ毎に覚えておくのは至難の業です。そこで今回ご紹介する方法だと、たった2つのルールを覚えておくだけで問題を解決します。
覚えておくのは『共通ワード』と『個別ワード』だけです。そして、『共通ワード』+『個別ワード』、つまり『共通ワード』に『個別ワード』を付け加えるとWEBサービス・アプリ毎のパスワードが出来上がります。ここでは、LINEとTwitter、Amazonを例に作成してみましょう。
① 共通ワード
② 個別ワード
LINE → 「L」「E」をピックアップ
Twitter → 「T」「R」をピックアップ
Amazon → 「A」「N」をピックアップ
『共通ワード』と『個別ワード』が決まったら、最後にそれぞれの文字をつなぐとあなたのパスワードが完成します。
LINE → LE+78-Musashi → LE78-Musashi
Twitter → TR+78-Musashi → TR78-Musashi
Amazon → AN+78-Musashi → AN78-Musashi
あなたが覚えたのは「78-Musashi」と「WEBサービス名・アプリ名の最初と最後の文字をピックアップするというルール」の2つだけです。それだけでWEBサービス・アプリ毎に異なるパスワードを作ることができます。
あなたのアカウントが乗っ取られてしまわないよう、各WEBサービス・アプリのパスワードをあなただけのパスワードに変更していきましょう。
アカウント乗っ取りを予防する対策② 2要素認証を設定する
対策①をとるだけであなたのアカウントを驚くほど攻撃から守ってくれますが、それでも「メールアドレス(ID)とパスワード」がセットで漏れてしまうケースはあなたの努力だけでは予防ができません。そこで2つ目の対策をとりましょう。
対策②は極論で言うと「IDとパスワードが漏れてもログインされない仕組み」、それが2要素認証です。2段階認証と呼ばれることもあります。2要素認証の簡単な説明は以下を参照してください。(7分59秒あたり)
2要素認証とは、IDとパスワードを入力した後に、さらに手元のスマートフォンに表示される6桁の数字を入力して認証する方式です。6桁の数字はあなたのスマートフォンにだけ表示されるため、仮にIDとパスワードを攻撃者が入手していてもあなたのスマートフォンがないかぎりログインできない仕組みです。
GoogleやAmazon、Twitter、Facebook等のWEBサービスやアプリは2要素認証が設定できますので、これを使わない手はありません。
Googleアカウントの2要素認証設定方法
https://support.google.com/accounts/answer/185839?co=GENIE.Platform%3DDesktop&hl=ja
Amazonアカウントの2要素認証設定方法
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=GE6SLZ5J9GCNRW44
Twitterアカウントの2要素認証設定方法
https://help.twitter.com/ja/managing-your-account/two-factor-authentication
Facebookアカウントの2要素認証設定方法
https://ja-jp.facebook.com/help/148233965247823
その他のWEBサービスやアプリについても「WEBサービス名 2要素認証」でGoogle検索すると、公式サイトに2要素認証の設定方法がヒットします。また、設定はどれも数分で完了しますので、2要素認証を提供しているWEBサービス・アプリは原則設定しておくと良いでしょう。
あなたのアカウントが乗っ取られたら、すぐにパスワードを変更(URL一覧あり)
もしもあなたのアカウントが乗っ取られてしまったという方はすぐにパスワードを変更しましょう。すばやくURL変更ができるように主要な金融やSNSといった重要なWEBサービスのパスワード変更URLを一覧にしていますので、参考にしてください。
最後に
いかがだったでしょうか?
これまでに比べて、あなたのアカウントの価値は上がっています。インターネットが便利になればなるほど、あなたは個人情報をWEBサービスやアプリに登録するでしょう。この傾向は止めることができません。
今のセキュリティ対策で十分ではない場合、いつか大きなセキュリティ事故につながる可能性があります。たった2つの対策で身を守ることができますので、ぜひあなたのセキュリティ対策に活かしてください。
コメント