アカウント乗っ取りのニュースを見るたび不安になります。自分は大丈夫だろうか…
僕の場合、使用するアカウント全部同じパスワードはマズいだろうと思って、3種類くらいを使いまわしてます。IDとパスワードはブラウザに記憶させてます。お世辞にも、情報セキュリティ強度が高いとは言えません。
こんなことじゃいけない!と、一発奮起して、まじめに情報セキュリティ対策をやってみました。
アカウント乗っ取りで狙われるサイトはどこ?
アカウントが乗っ取られたら、どんな被害に会うか考えてみましょう。
Amazonや楽天のサイトは使用したクレジットカード番号を記憶しています。これらサイトが乗っ取られたら、僕のクレジットカードで買い物されてしまいます。
FacebookやLineが乗っ取られたら、友達に違法サイトの宣伝をしたり、「お金貸して」的なメッセージを投稿されたりします。
よって、次のサイトをアカウント乗っ取りから守ることを目的とします。
- Amazon、楽天などクレジットカード情報を記憶しているサイト
- Facebook、Line、TwitterなどのSNSサイト
2段階認証で利便性確保してアカウント乗っ取りを防ぐ
”セキュリティ対策”でググってみると、およそ次のような対策が出てきます。
- ID/パスワードをブラウザに記憶させない
- パスワードを定期的に変える
- パスワードの使いまわしをしない
- 2段階認証が使えるなら利用する
1.~3. はアカウント流出を防ぐ手段です。
4. の2段階認証は、アカウントが流出しても、許可しない相手にはログインさせない手段です。今回はこの手段で対処したいと思います。
2段階認証のログインは、IDとパスワードに加え、指定したスマホから取得するセキュリティコードを必要とします。セキュリティコードはスマホにSMS送信する方法と、スマホに入れたコードジェネレーターと呼ばれるアプリで生成する方法があります。SMS送信は傍受される可能性があり、コードジェネレーターを使う方が安全だそうです。
※興味のある方は、関連の投稿もご覧ください。
→2段階認証の認証アプリを Authy へ統一した
セキュリティコードが必要になるのは、新しいPCやブラウザからログインする場合だけです。本人が「いつものパソコン」で、「いつものサイト」にログインするならセキュリティコードは不要なのです。
アカウント乗っ取り犯が、犯人のパソコンから、上記の「いつものサイト」にログインする場合は、初めてのログインなのでセキュリティコードが必要になり、犯人はログインできないわけです。
セキュリティと利便性は相反するものですが、2段階認証は利便性と情報セキュリティ強度を両立できるのです。
IDとパスワードはテキストファイルにメモしてUSBメモリにバックアップする
アカウントが乗っ取られるのはもちろん困りますが、アカウントがわからなくなって本人がログインできないのも困るので、このへんも考慮します。
ブラウザの自動ログインだけに頼りきって、IDとパスワードのメモを取らないでいると、パソコンを買い替えたときにIDとパスワードが分からなくなって、どのサイトにもログインできなくなります。アカウント情報はどこかにメモを残す必要があります。
僕は、アカウントのサイトごとにテキストファイルを作って、そこにログインIDとパスワードを記録しています。これだと長いパスワードでもコピペができて便利です。
例えば、楽天.txtには、楽天のログインIDとパスワードを記入しておきます。楽天に複数のアカウントがあれば、それらも同じファイルに記入します。
これらはパソコンの、普段使っているアカウントのマイドキュメントに保存しておきます。ゲストユーザーから見られないし、ネットワークからも見れないので比較的安全です。
そして、バックアップとしてUSBメモリに保存して保管します。Zipファイルに圧縮してパスワードでロックすればより安全ですが、そのパスワードを忘れると元も子もないので、そこまでしません。
2段階認証のバックアップコードもUSBメモリにバックアップする
2段階認証が設定できるサイトでは、バックアップコードを作成することができます。これば、スマホが壊れてセキュリティコードが得られない場合に、代わりに使用できるコードです。
バックアップコードは印刷するように促されますが、コピーすればテキストファイルにペーストできます。
これらも、ID・パスワードのメモと同様に、アカウントのマイドキュメントに保存して、USBメモリにバックアップしておきます。
クレジットカードを使うサイトにスマホでログインしない
僕は、パソコンとスマホでGoogle Cromeを使用しています。同じgoogleIDを使って、ブックマークや自動ログイン機能を共有しています。
もし、スマホが盗まれてロックを突破されたら、Chromeが記憶しているアカウントは使い放題ですが、この利便性は捨てられません。
なので、ChromeからはAmazonや楽天のような、クレジットカード情報を記憶するサイトや、銀行口座サイトにはログインしないようにしています。それらのサイトにはパソコンのIEから利用します。
これで、スマホのロックを突破されてもクレジットカードが使われるリスクは無くなります。
こんなセキュリティ対策をしてみました(図解)
今まで考察した内容に沿って、セキュリティ対策をした内容を図にしてみました。
四角はアカウントでログインするアプリやサイトを示していて、矢印は、IDやパスワードなしで自動ログイン可が許可されるサイトに向いています。
例えば、スマホにログインすればChromeへログインできて、ChromeにログインできるとFacebookにログインできる…という関係を示しています。
青色の文字と枠は、不正ログインからどのように保護されているかを示しています。Amazon以外は何らかの形で不正ログインから保護されています。
有事の時、どれくらい保護されるか考えてみる
アカウント情報が流出して不正ログインを試行される
SNSや銀行口座などは2段階認証でアカウントを保護します。
楽天のアカウントは保護できませんが、クレジットカード決済は本人認証で保護されます。
Amazonのアカウントは保護できません。クレジットカードも使えてしまいます。
スマホが盗まれた場合
スマホの画面ロックでアカウントを保護します。
ロックを突破されると、銀行口座やクレジットカードの不正使用はできませんが、LineとFacebookは使い放題になります。
パソコンが操作された、または盗まれた場合
ログアウトしていれば、ログインパスワードで保護されます。
ログインした状態で操作されると、SNSも銀行もクレジットカードも使い放題です。
スマホとパソコンを買い替えて古いのを捨てた
USBに保存したアカウント情報を見れば、新しいパソコンやスマホでアカウントにログインできます。2段階認証の場合は、同じくUSBに保存したバックアップコードを使います。
まとめ
どのような対策も、絶対安全という事は無いでしょうが、情報セキュリティについて、自分なりに整理できたので良かったと思います。
Amazonが2段階認証に対応してくれれば、不正ログインに対しては十分な強度を持つのではないでしょか。
スマホを盗まれてロック突破されたらお手上げなのは仕方ない気がします。盗まれないように気を付ける事にします。
ログイン中のパソコンを不審者に操作される事態なら、かなり身の危険が迫ってるでしょうから、情報セキュリティどころでは無いですね。戸締りをしっかりしすることにします。
