残暑厳しい昨今だが、大学生を中心に「まだまだ夏休みは続くぜェ!」と意気軒昂な者も少なくないだろう。そんなハメを外しがちな諸兄にぴったりのまとめ記事がコレだ! 約3年分のセキュリティ記事のなかから、ネットとスマホに関するものを集めてみた。夏の火遊び(意味深)で大炎上はゴメンだと思う気持ちが塵ほどでも残っているなら、悪いことは言わん、10分かけて読んでいきなされ……。
混迷を深めるメッセージングアプリの乗っ取り事件
個人ができる対策は「パスワード変更」と「PINコード設定」
6月半ばから被害報告が多発し、社会問題になりつつある無料通話・メッセージングアプリのアカウント乗っ取り被害。7月8日現時点で運営会社が確認している被害件数は303件。これは同社に寄せられた「アカウントが乗っ取られた」という相談の内、実際に乗っ取られていることが運営側で確認できている件数に過ぎず、“氷山の一角”と見られる。
実際、警視庁の調べでは7月下旬時点で被害相談が約100件寄せられており、被害総額は約650万円に上るという。
手口は前回伝えた通り、乗っ取ったアカウントを装い、“友だち”に「忙しいですか?手伝ってもらってもいいですか?」「近くのコンビニエンスストアでプリペイドカードを買うのを手伝ってもらえますか?」などと送りつけるというもの。
メッセージングアプリのPINコード設定を今すぐ実行しよう!
犯人が、“友だち”に要求するのは、既報の通りショッピングサイトのギフトカードなどプリペイド式のウェブマネーだ。「買ったらすぐに番号の写真を送ってください」など、プリペイド番号を写真を送らせる手口が報告されており、滋賀県では男女2人の合計で22万円もの被害が出たとの報道発表もある。
解決策とユーザーレベルでの対策を、セキュリティーの分野に造詣が深いITジャーナリストの三上洋氏に聞いてみた。
「やはり第一に、ユーザー各々がパスワードを変更しておくことが大切です。身近にいる乗っ取りの被害に遭った人たちに、メールアドレスのドメインをきいてみました。すると、大手プロバイダーのものに加え、キャリアメール、なかには、独自ドメインのメールアドレスを使っていた人もいることが分かりました。特定のプロバイダーのメールアドレスを使っている人だけが被害に遭っているわけではないようなのです。
乗っ取りからアカウントを守るためには、まずパスワードを変更すること。そして他のサービスで使っているパスワードを流用せず、新たに作り直すのが有効でしょう」
また、メッセージングアプリの運営会社はセキュリティー強化のため、サービスにログインする際、パスワードのほかにPINコードと呼ばれる暗証番号を入力させる追加策を発表している。アプリの「その他→設定→アカウント→PINコード」から設定できるので、今すぐ確認すべし。
Q:そもそもなぜ乗っ取られるのか?
A:IDとパスワードを他サービスと流用してるから
この点について三上氏は、ユーザー自身のパスワード管理方法に問題があると指摘する。例えば、A社のメールアドレスをメインのアドレスとして使っている場合に、「A社のメールアドレス」+「A社のメールにログインするパスワード」を「B社のサービスのログイン用ID」+「B社のサービスにログインするパスワード」といった具合に流用してしまうユーザーが非常に多いのだという。
不正ログインを狙うクラッカーたちは、IDとパスワードの組み合わせリストを入手すると、連続的に数々のサービスにログインするスクリプトを使って、次々に不正ログインを試みる「リスト型攻撃」を仕掛ける。「流出したメールアドレス+パスワード」の組み合わせを流用しているサービスには、このリスト型攻撃によってそのままログインされてしまうというわけだ。
現在のセキュリティに完全や絶対はないが、それでも「比較的安全」になる対策はあるので必ず実行すべきと語る三上氏
不正ログインから大切なアカウントを守るための対策を、三上氏に聞いた。
「メールアドレスは共通でも構いませんが、サービスごとにパスワードを変えるのはマストといっていいでしょう。様々なサービスを2つか3つくらいのパスワードで管理していると、不正ログインの被害に遭う確率は飛躍的に高まります。
不正ログインが増加している昨今、『こうすれば絶対に安全、絶対に流出しない』という方法はありません。パスワード管理ソフトのなかにはオンライン上にパスワードを保存しておくタイプのものもあり、ここから流出する可能性もゼロとは言い切れないのが実情です。
エクセルや紙に記録しておく方法は、以前なら『盗み見られると危険なのでやめよう』とセキュリティ企業やIT企業が周知していました。しかし、不正アクセス、不正ログインが増加している昨今では、『様々なサービスを同一のパスワードで利用するよりは安全』なのです。もっとも、『比較的安全』という話にはなってしまいますが。
やはり最も重要なのは、サービスごとにパスワードを変えておくことです。それを大前提とした上で、どの方法で管理すれば最も不正ログインのリスクが低くなるのか、ユーザー各々が考え、自分に合った方法で管理することが大切になっています」
