このページの本文へ

多くの人は「データが流出してもパスワードを変えない」

2020年06月12日 09時00分更新

文● せきゅラボ編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

データが流出してもパスワードを変えない人が多い

 パスワードは、自分しか知らない、人に知られてはいけないものだ。もし流出してしまったら、悪用されることを防ぐために、そのパスワードはもちろんのこと、他のアカウントでも同じパスワードを使っていれば、すぐに変更する必要があるはず。

 しかし、カーネギーメロン大学のセキュリティ・プライバシー研究所の研究チームによれば、データの侵害事件が発生した場合においても、パスワードを変更するユーザーは全体のおよそ3分の1であると報告している(https://www.ieee-security.org/TC/SPW2020/ConPro/papers/bhagavatula-conpro20.pdf)。

 パスワード関連の違反通知と、その有効性を調べるために、249人の参加者から、実際のパスワードデータ(ウェブサイトのログインに利用するものや、ブラウザーに保存されているものなど)に基づいて、パスワードを変更したかどうかを調査したとのこと。

 まず、249人の参加者のうち、63人が、データ侵害事件が公表されたドメインのアカウントを所有していた。しかし、事件の通知から3ヵ月以内にパスワードを変更したのは、63人中21人(33%)だった。

 また、パスワードを変更したユーザーにおいても、そのうちの3分の2は、以前のパスワードとよく似たものや、その参加者が他で利用しているパスワードと類似しているものを利用していたという。また、違反したドメインのパスワードと同じ、あるいは類似していたとしても、参加者が他のサイトのパスワードを変更することは、ほとんどなかったとのこと。

パスワード管理を実践できているだろうか?

 パスワードの使い回しには注意したい……と、よく言われる。あるサービスからパスワードが流出してしまうと、ほかのサービスでも同じものを使いまわしている場合、それらに不正アクセスされてしまう可能性がある。

 そこで、サービスごとに異なるパスワードを設定しておけば、万が一パスワードが推測されたり、不正に情報が流出したりといったケースでも、悪用される可能性は下がるとされている。

 しかし、カーネギーメロン大学の調査でもわかるように、パスワードが流出してまでも変えない人たちもいる。「自分は大丈夫」と思わずに、使い回しを避けるのはもちろんのこと、複雑なパスワードを使うように心がけたい。

 自動生成で複雑なパスワードを作成する、パスワード管理ソフトを利用するのもよい。クラウド経由でデータを共有できるソフトなら、パソコンからでもスマホからでもパスワードが同期されて使えるので、「パスワードの管理は面倒だ」と思っている人にもぜひ利用してほしい。

 ログインの際に、パスワードだけでなく電話番号(SMS)などによる認証も必要になる「2段階認証」(ログイン認証)なども有効なので、設定しておきたい。

 では、パスワードが流出するような事件に遭遇したら、どうするべきか。

 くどいようだが、パスワードの変更は必須だ。新しいパスワードは複雑で、以前のパスワードとは無関係でなければならない。メールアカウントに関連するセキュリティーの質問がある場合は、それらも変更しよう。

 同じパスワードを使用している他サービスのアカウントも、パスワードを必ず変更しておきたい。マルウェアやウイルスがないか、コンピューターをスキャンするのも忘れずに。

 データの漏洩は他人事ではない。パスワードの管理を通じて、セキュリティへの意識を高く持つべきだ。McAfee Blogの「メールがハッキングされた!対応すべき6つのポイント」を紹介しよう。(せきゅラボ)

※以下はMcAfee Blogからの転載となります。

メールがハッキングされた!対応すべき6つのポイント:McAfee Blog

 #Staysafe、#Shelterinplaceといったハッシュタグが示すような状況下で外出を控えなければならないなか、メールの送受信量は急増しています。この増加は、巧妙なハッカーにとって、添付ファイルやその他の一般的な手法を介しウイルスをインストールすることが容易になっていると考えられます。まずはメールがハッキングされたらどのようなことが起きるか、見ていきましょう。

メールがハッキングされた兆候

あなたが送信していないメッセージを受信して​​いるかも

 あなたが知らないうちに、あなたから友人や仕事の連絡先に届いたように見えるメッセージが送られているかもしれません。すぐにあなたのコンピュータに深刻な問題があることを警告しなければなりません。友人はそういったメールについてあなたに知らせてくれるかもしれませんが、ビジネスの連絡先や同僚はそうではないかもしれません。ハッカーは電子メールの添付ファイルを介してマルウェアをコンピューターにインストールでき、侵入することで驚くほど容易にパスワードを見つけることが出来てしまいます。

オンラインパスワードが機能しなくなる

 お気に入りのサイトへの定期的な訪問者として、必要に応じてパスワードを設定しているでしょう。誤って間違ったキーを押してタイプミスをする可能性はありますが、それを2回行なうことはほとんどありません。パスワードが知らないうちに変更されている可能性があります。誰かがあなたの電子メールをハッキングした可能性を考慮する必要があるかもしれません。

 コンピュータに侵入すると、ハッカーはほぼ自由にあなたのパスワードを探すことができます。多くの人々は便宜上パスワードのリストを作成しますが、そのようなファイルを見つけたハッカーにとっての利益はかなりのものになるでしょう。

コンピュータのパフォーマンスが遅く不安定

 コンピュータによる予期せぬ不安定なパフォーマンスは、ウイルスが感染した可能性があることを意味します。予想される通常の動作をしていない場合、問題があることを示しています。悪意のあるソフトウェアであるスパイウェアは、オンライン活動を追跡したり、ファイルを改ざんしたり、個人情報を盗んだりする可能性があります。

 スパイウェアがシステムに与える負荷を考えると、速度が遅い理由を理解できます。ウェブサイトから画像をダウンロードしたり、電子メールの添付ファイルをクリックしたりしても、おそらく何も問題に気付かなかったかもしれませんが、ウイルスが添付されている可能性があります。ウイルスを駆除するまでは、誰かに監視されているように感じるかもしれません。

ランサムウェアに特に注意

 特に悪意のある悪意のあるソフトウェアには、コンピューターの制御を解くための身代金を支払う機能が付いています。ランサムウェアは電子メールを介してシステムに侵入することができ、知らない送信者からの魅力的な添付ファイルをクリックすると侵入を許可したことになり、ランサムウェアは電子メールを介してシステムに侵入するのです。ランサムウェアはファイルをロックし、それらにアクセスできないようにすることができます。犯罪者はあなたのシステムの制御を解放するために身代金を要求します。

 おそらくランサムウェアは、ファイルへのアクセスを完全に拒否し、それを取り戻すためにお金がかかるペナルティがあるため、コンピュータへの他の悪意のある侵入よりも危険かもしれません。添付ファイルを開くとコンピューターと家計に損害を与える可能性があることを思い出させる警告として、ランサムウェアをインストールするメールは特に注意が必要です。

メールがハッキングされたら、どうすべきか

1.パスワードを変更

 これは、ハッカーがあなたのアカウントに戻って来ないようにするために最初に行なう必要があることです。新しいパスワードは複雑で、以前のパスワードとは無関係でなければなりません。常に8~10文字を使用し、大文字と小文字、数字と記号を組み合わせましょう。

2.すぐにアドレス帳に登録のある人々へ連絡

 ハッカーの目的には、アドレス帳から他の人にもアクセスを拡げることも含まれています。すべてのメール連絡先にできるだけ早くメッセージを送信します。あなたから送られてきたメール(マルウェアが含まれている可能性が高い)を開かないように彼らに知らせましょう。

3.秘密の質問を変更

 メールアカウントに関連するセキュリティーの質問がある場合は、それらも変更してください。それらを予測不可能でニッチなものにしましょう。

4.多要素認証を有効に

 多要素認証はログインに別のステップを追加し、保護の層も追加します。これを有効にすると、パスワードに加えて、ログインするための一意の使い捨てコードが必要になります。これは通常、携帯電話に送信されます。

5.マルウェアやウイルスがないかコンピューターをスキャン

 これは重要なステップです。包括的なセキュリティーソフトウェアは、オンラインライフのためのデジタルの壁を提供します。マカフィーインターネットセキュリティを使用すると、スマホを含むすべてのデバイスをウイルスやマルウェアから保護可能です。また、すべてのアカウントに固有のパスワードを覚えて生成するのに役立つパスワードマネージャーも含まれています。

6.同じパスワードを設定している他のアカウントを変更

 これは時間がかかるかもしれませんが、やるべき作業です。侵害された電子メールと同じユーザー名とパスワードを使用している他のアカウントを必ず変更してください。複数のアカウントに同じログイン情報を使用している可能性があることをハッカーは知っています。

保護された状態を保つ

 電子メールは潜在的なセキュリティーリスクをもたらす可能性がありますが、ウイルス対策ソフトウェアは潜在的な損傷からコンピュータシステムを保護します。バックグラウンドで効率的に実行されるプログラムは、脅威を検出して排除します。意識と準備は、個人情報をハッキングする試みを阻止し、安全な環境をオンラインで維持できるようにするのに役立ちます。

※本ページの内容は2020年5月19日(US時間)更新の以下のMcAfee Blogの内容です。
原文:My email has been hacked! What should I do next?
著者:McAfee

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。

■関連サイト

カテゴリートップへ