こんにちは、PIXTAスタッフのtomです。
Webサービスの運営を続けているといろいろな事に目を向けなければいけません。
その中でも、この6月はやけにあわただしい月でして、何があわただしかったかというと、セキュリティとプライバシーに関わる話題で、敏感にならざるを得なかったからです。
ちょっと並べてみましょう。先々週から先週にかけて目立つニュースがこんなにも。
【不正アクセス】6/15 Twitter連携アプリが乗っ取られる 「ツイート数カウントくん」ユーザーが身に覚えのないブロック(ITmedia)
→ Twitter連携アプリが悪用され、大勢の人が気づかぬ間にブロックしていたという事件でした。
【フィッシング詐欺】6/16 「そな銀行」本人認証サービスのメールに注意、りそな銀行の偽サイトへ誘導 (Watch Impress)
→そな銀行ってなんだよ、と比較的分かりやすいフィッシングでした。
【不正アクセス】6/17 LINEアカウント乗っ取り被害相次ぐ(ITmedia)
→ LINEアカウントを乗っ取り、友達に電子マネーを購入するよう依頼する不審なメッセージが送られていた事例などありました。
【マルウェア・ウイルス】6/19 偽FLASH Player事件
→ 悪意のある広告が表示され、誘導されるがままに進むと偽装されたFlashPlayerをインストールさせられてしまう、というマルウェアの事件でした。
【不正アクセス】6/20 はてなへのリスト型アカウントハッキングと思われる不正ログインについてのご報告と、パスワード変更のお願い
ほぼ毎日、何かが起きています。私たちの身の回りに直接関わる事件から、そうでなさそうなものまで、大小さまざまに起こっています。
この原稿を書いていたら妹から「LINE乗っ取られた人からメッセージが来るんだけどどうしたらいいの」と相談を持ちかけられた程です。気味が悪い話ですが、それぐらい身近になっているということです。
では、注意しましょう!とはしょっちゅう聞きますが、実際何したらいいの?
ということで具体的な対策をまとめました。知ってるよ!ということもあるかもしれませんが、お付き合い頂ければ。
不正ログイン対策
いろんなサービスでパスワードを使いまわさない
2013年ごろから他のサービスで使っていたメールアドレスとパスワードの組み合わせが流出し、アカウントが乗っ取られると言う事件が目立って相次いでいます。パスワードを使いまわさない、複雑化させるという手立てしかありません。利用するWebサービスごとにパスワードを変えるということです。
参考:「 全てのインターネットサービスで異なるパスワードを! 」
~ 多くのパスワードを安全に管理するための具体策 ~ (IPA 情報処理通信機構)
パスワードはできる限り長く
長ければ長いほど、解析にかかる時間は長くなります。長いパスワードで、強い暗号を使っていると、現実的な時間では解析できない(一説には宇宙が終わるほど時間がかかるとか)からです。
今のところ、8文字以上あると安心できそうです(今後、もっと増えるかもしれません)。
アルファベットの大文字・小文字・数字・記号を混ぜる
長く、複雑なパスワードはそれだけで解析に時間がかかるようになります。記号はたくさんありますが、パスワードには半角文字である、
” ’ ( ) [ ] { } ! $ # % & . , < > _ – @
などを使います。
Webサービスによっては許可されていない文字もあるので、出来る限りでよいと思います。
さらに、IDと同じパスワード、辞書にある単語、サイト名、サービスの名前をパスワードとして使うのは簡単に推測されますので、オススメできません。
そんなに覚えきれないんですけど
もちろん、長く、複雑なパスワードはいくつもどころか1つですら覚えきれないです。
そういう時は、KeePassなどのアカウント・パスワード管理ソフトウェアを使うことも検討してください。パスワードを暗号化して保存することができ、安全にコピー&ペーストで利用することができます。
パスワード専用の手帳を作りメモすることも一つの手段
「パスワードを紙に書くこと」がダメなわけではなく、書いたものが第三者の目の触れる場所にあってはならない、ということです。ですから、その手帳をなくしたり、盗られたりしないようにする事が大前提です。
クレジットカード等と同じように扱うべきで、他人に見られてはいけません。
もし、不正アクセスとわかったら
Webサービスを使っていると不正アクセスは後を絶ちません。アカウント情報が流出したということが判明し、サービスの運用者から指示があれば速やかにパスワードを変更してください。
どこのサービスに登録したか覚えてない、を防ぐために
メールアドレスもわからない、パスワードもわからない、アカウント名もわからないというようなケースがあるかもしれません。その予防として、もしメルマガを取ることに抵抗がなければ、読まなくても開かなくても良いのでメルマガを取っておく、という手段があります。
こうすることで、メルマガが届く限りそのアドレスで登録されていることが確認でき、「このサイトどのアドレスで登録してたっけ?」と探す必要もなく、手続きなどが楽になります。
メルマガは絶対に要らない!という方は残念ながら手間がかかりますが、自分でどのサービスに登録しているか管理する必要があります。
フィッシング対策
怪しいメールは開かない…とは?
「怪しいメールに注意!」とはよく聞きますが、すべての人が見抜けるわけではありません。おそらく「フィッシング詐欺を目的とした怪しいメールに注意!」というもっともらしいタイトルのフィッシング詐欺があったら注意していても引っかかってしまう人がいるのではないでしょうか。
下記は、WebMoneyを装ったフィッシングメールです。既に迷惑メールフォルダに振り分けられているのでわかりやすいのですが、個人的にどこに注目をするかというと、次の図の番号のある場所です。
1. ウェブマネーなのに、yahoo.co.jp経由?
2. リンクの文字列と、実際のアクセス先のアドレスが全く違う
3. 「お問い合わせ」と書かれていながら、連絡先がない(知らないか、あるいは削られた可能性)
4. なぜ長音「―」が使われているのか?
5. 「アカウントが異常にログイン」というのは不自然な日本語ですよね
他にもありますが…1, 3, 4, 5は不審あるいは不自然で、それだけではフィッシングとは判断できません。ただし、2のリンクは決定的で、リンクの文字列とステータスバーに表示されているアドレスが違うので、何らかの意図があり、フィッシングではないかと予想できるのです。
ウイルス・マルウェア対策
ウイルス対策ソフトは、感染した時に駆除・隔離するときには必要になります。各社それぞれ特徴のあるものですのでここではどれが良いとは書けないですが、それよりも感染しないように注意することが大切です。
信頼できる配布元にあるソフトウェアを使う
どこかの誰かが掲示板などで配布しているソフトが便利だった、ゲームが面白かったので使っていた、と言うことがあるようですが、それこそがパソコン遠隔操作事件が成立した原因の一つでした。ウイルス対策ソフトで検査しつつ、一番は使わないことです。
警告を出す広告には注意!
以前からよく聞いていて、最近は更に凶悪化しているのが「PCの性能が落ちています!」だとか、「ウイルスに感染しています!」などデタラメな警告を表示して本物のウイルスやマルウェアをダウンロードさせようとする広告です。偽FLASH事件ではこの手法が使われました。
実体は警告に似せた広告なのです。広告は自分のPCやスマホをスキャンできません。
ですから、そんなソフトをダウンロードする必要はないのです。
もし、感染してしまった時は…?
アンチウイルスソフトで駆除することをおすすめします。
本当に駆除できたかどうかわからない時は、バックアップを取り再インストール、リカバリーという手段を取るしかありません。
再インストールが終わったら、アンチウイルスソフトでバックアップを検査し、異常がなければファイルを確認するとよいでしょう。
スマートフォン、SNS連携アプリの対策
アプリにどんな権限が必要かを確認する
スマホは特に個人情報の塊です。
自分の情報のみならず、家族や友達の情報まで抱えている大切なものであるのはご存知の通りです。ですから、権限を与えるアプリにも注意するのですが、ポイントはアプリの機能と、要求している権限を比べてみましょう、と言うことです。
- 「画像検索アプリ」なのに、アドレス帳やGPS機能がいるの?
- 音楽聞くだけなのにカメラ機能がいるの?
- 画像編集、動画編集アプリなのになぜ「端末のステータスと ID の読み取り」が必要なの?
これはTwitterやFacebookなどのSNSでも同じことが言えます。
- その連携アプリは、DM送る機能が必要ですか?
- 他のアカウントを自動的にフォローしたり、リクエストを送ったりしなければなりませんか?
- 自分の知らない間に勝手にリツイートしたり、シェアしたりしてもいいのですか?
ということを確認しなければいけません。
なんせ、パスワードとは違う形ですが、自分のアカウントへのアクセスを許可するのですから、シビアに考えなければいけません。
アプリは定期的に見直しましょう
許可した連携アプリ、ツイート数カウントくんのようにアプリが乗っ取られてしまうと、連携を許可している皆さんのアカウントも悪用されるおそれがあります。当然、悪用された場合の通知があるわけありません。ですから、必要のない連携アプリは解除してしまいましょう。必要になれば、インストールすれば良いのですから。
いかがでしたでしょうか。
アカウントを守るということは、自分と、自分に関わる人の個人情報を守ることにつながります。他にもリスクはありますし、これだけで万全ではありませんが一定の効果はあると思います。
インターネット利用者として、自分のアカウントに侵入されないように自衛することは重要なのです。
