みなさん、こんにちは!先週、残念なことにGoogleのアカウントを乗っ取られてしまった佐々木徹です。
↑ グーグルのアカウントをハッキングされた筆者の図...
幸い実害もなく、アカウントもグーグルチームの活動により取り戻すことができました。ほっ。。。
ただ、自分の不注意でつまらないリスクを招き入れてしまい、本当に反省をいたしました。こちらの顛末は、また改めてどこかでシェアしたいと思います。
さて暗号通貨関連にとどまらず、ネット上でのサービスが生活の一部となっている今、セキュリティ対策の必要性は日を追うごとに重要度を増しています。
そこで今回の記事では、今すぐできる3つの対策を提案していきたいと思います。
その①:メールアドレスは各サービスごとに分割する
ハッキングをされないように対策することは大切です。でも、それ以上にハッキングされたとき、被害を拡大させないことも同じくらい大切です。
その点で自分が一番反省したのは、同じメールアドレスを複数のアカウント情報に使いまわしていたことです。なぜなら一つのメールアドレスが乗っ取られただけで、芋づる式に主要なサービスへのログインをトライさせてしまうことになるからです。
ハッキングに遭った場合は、侵入をした側との時間勝負・手間勝負になります。相手がログインを試みるのに時間と手間をかける障壁を持たせておくことで、取れる対策の選択肢も増やすことができます。
メールアドレスを分割する方法はいくつもあります。
もし今から始めるとして、おそらく日本のユーザに馴染みがあり、比較的とっつきやすいのは、AppleがiCloud+の有料プランで提供するメールの非公開機能かもしれません。
2022年第3四半期の時点で、AppleのiPhone国内シェアは約66%と推計されています(IDC Japan調べ)。最安プランは月1ドル程度ですから、iCloud+契約を持っている方を前提に考えてみることにします。
以下、アップル社の公式サイトからの案内です。
iPhoneの「設定」で「メールを非公開」のアドレスを作成する/管理する https://support.apple.com/ja-jp/guide/iphone/iphcb02e76f7/ios
「設定」>「[自分の名前]」>「iCloud」>「メールを非公開」と選択すると、以下のように新しいメアドを作成することができます。
エイリアスとはメインのメールアドレスとは別の、代替アドレスのことです。これを使うことでメインのメールアドレスを公開せずに済みます。
エイリアス宛に送信されたメールは正規アドレスに転送されます。ハッキングされたとしても、サービスごとに割り当てているので流出元をすぐに特定することもできます。
また迷惑メールが届き始めたときは、そのエイリアス自体を無効化することもできます。
いくつかのフリーメールでは、正規アドレスのあとに特定の文字を割り当ててエイリアス化できるサービスもあります。ですがそれだと、正規アドレスも即座にわかってしまいます。
日本は昔、「水と安全はタダ」などと呼ばれていました。今は普通に水も店頭で売っています。
ネット上の安全も、ある程度のコストは払って手に入れるほうが確実だと再認識した筆者です。
その②:個人情報の流出を把握する
自分自身が個人情報を守っていても、使っているサービスの会社がハッキングの攻撃対象となり、個人情報が流出してしまうことは日常茶飯事です。
たとえば、過去の個人情報流出事件でメールアドレスが出回っていないかは、以下のサイトで調べることができます。
筆者が今回乗っ取られたアドレスを試しに入れてみると、15ほどのサイトで漏洩しているとの結果が返ってきました。メアド使い回しの末路はここにありですね。
またグーグルのメールを利用されている方は、アカウント内から「メールアドレスがダークウェブ上にないかどうかを確認」することもできます(無料です)。
ダークウェブに自分のメールアドレスがないかスキャンする(グーグル)
こちらも出るわ出るわ。筆者が自動車保険で利用しているチューリッヒも2023年1月に漏洩を起こしており、メアドに加えて生年月日まで流出していました。
こんなふうに、自分のアカウントが乗っ取られていなくても、サービスを使っている会社がハッキングされて自分の情報が流出することは、もはや日常の風景となりました。
こうしたとき、前章で対策したように、すべてのサービスで異なるメールアドレスを使っていれば、ハッキングを試みる側にも障壁を1枚加えることができます。
その③:2段階認証ツールはオフライン管理で
ログインの際に、メアドとパスワードに加えて、2段階認証を設定することが有効とされています。
SMSや認証アプリを使う方法があるわけですが、どちらかといえば認証アプリ(Google Authenticatorなど) を使った方が、より安全性が高いとされています。
この理由は別に譲るとして、注意が必要なのは認証アプリをグーグルのアカウントと紐づけている場合です。
紐づけることで、スマホを乗り換えたときなどには、2段階認証のコードを苦も無く移転することができます。ですが、逆にグーグルのアカウント自体を乗っ取られてしまうと、それら2段階認証までもハッカーの手に渡ることとなります。
最悪のパターンとしては、、、
- 自分のグーグルアカウントが乗っ取られる
- 2段階認証も持っていかれる
- メアドと2段階認証で取引所のアカウントに入られる
という状況です。少々不便でも、2段階認証のツールはアカウントと連携させず、単独で運用をしたほうが安全と言えそうです。
このあたりは、グーグル社の公式サイトにマニュアルが掲載をされていますから、一読してみると良いでしょう。
Google 認証システムで確認コードを取得する(グーグル)
また万が一にも手元のスマホが盗難されてしまった場合にも、2段階認証を突破される危険性が出てきます。
その時でも、たとえば遠隔でデータを消去する方法も残されています。
iCloud.comの「デバイスを探す」でデバイスを消去する(アップル)
そこまで大変なことになることも稀なケースだとは思いますが、一応のリスク管理として知っておいて損はないかもしれません。
まとめ
今回は、アカウントハッキング被害者の経験から学ぶ、今すぐできる3つの対策をご紹介しました。
- メールアドレスを各サービスごとに分割
- 個人情報の流出を把握
- 2段階認証ツールをオフライン管理
いかがでしたでしょうか?これらの対策は少し手間がかかるかもしれませんが、大切な情報を守るために必要不可欠です。
今すぐにでも実践できる対策から始めてみましょう。そして、周りの人にも情報セキュリティの重要性を伝えていきましょう。
みんなで力を合わせれば、もっと安心・安全なネット社会を築いていくことができるはずです。一緒に頑張っていきましょう!
ココスタ
佐々木徹
次の記事
読者になる
一緒に新しい世界を探求していきましょう。
ディスカッション