著作者:storyset/出典:Freepik
認証アプリか、セキュリティキーを使おう
多くの人がネットサービスを日常的に利用している現代において、アカウントを保護することはきわめて重要だ。そこで強い味方になるのが、二要素認証。パスワードやSMSコード、パスワードや指紋認証など、異なる認証要素の2つを組み合わせるセキュリティだ。
現在、SNSを始め、多くのネットサービスが二要素認証に対応している。Twitterも、その1つだ。
Twitterの二要素認証は、「SMS」「認証アプリ」「セキュリティキー」の3つのいずれかを用いる仕組みになっている。しかし、SMSを使ったものが、2023年3月20日から有料化となる(An update on two-factor authentication using SMS on Twitter)。
正確には、Twitterの有料サービスである「Twitter Blue」の会員以外は、2023年3月20日からSMSを使った二要素認証が不可能になるというものだ。
ツイッターのCEOであるイーロン・マスクによれば、偽の二要素認証SMSのために、年間およそ6000万ドルの被害に遭っているという。ツイッター側は、認証のために要求されたSMSの費用を通信事業者に支払っている。しかし、二要素認証のSMSを不必要に要求するボットアカウントを作ることで、ツイッターから多額のSMS送信料を奪い取る詐欺行為が横行していたという。
Twitter is getting scammed by phone companies for $60M/year of fake 2FA SMS messages
— Elon Musk (@elonmusk) February 18, 2023
2023年3月20日以降、Twitter Blue会員ではない場合でも、無料で二要素認証を有効にする方法がある。認証アプリか、セキュリティキーを使用すればよい。
認証アプリとして推奨されているのは「Google Authenticator」「iOS AutoFill」「Authy」「Duo Mobile」「1Password」などだ。セキュリティキーは、PCのUSBポートに挿入する、BluetoothまたはNFC経由で同期させるものがある。また、スマートフォンでも利用できるものが商品化されている。
詳しい設定方法は、Twitterの公式を参考にしてみてほしい(Twitterの2要素認証(2FA)を使用する方法)。特に現在、二要素認証をSMSで有効にしている人は、忘れずにチェックしておこう。
パスワードの強化も忘れずに
二要素認証が普及しつつある現在でも、パスワードによる認証法も、我々の生活の中で必要不可欠な存在といえる。二要素認証が使えないサービスでは、なおのこと重要だ。
パスワードを作成する際には、推測されにくいものを用意する必要がある。個人情報(名前や誕生日など)が含まれないようにして、特殊文字、数字、大文字、小文字をランダムに組み合わせたものがよいだろう。
また、さまざまなサービスのアカウントに同じパスワードを使用することもNGだ。そうやってパスワードを使いまわしていた場合、仮に1つのパスワードが情報漏えいなどで流出した場合、他のWebサービスやSNSへもアクセスされてしまう可能性が高くなる。
自動生成で複雑なパスワードを作成する、パスワード管理ソフトを利用するのも一つの手段。クラウド経由でデータを共有できるソフトなら、パソコンからでもスマホからでもパスワードが同期されて利用可能だ。
もちろん、パスワードの強化だけでなく、全体的なセキュリティの強化も忘れてはならない。信頼のできるセキュリティソリューションを導入し、ウイルスやマルウェアの脅威から身を守っておくのは、現代社会では必須の態度だ。
今回は、ネット上のセキュリティについて考えるために、McAfee Blogから「オンライン上で安全を保つための10のヒント」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
オンライン上で安全を保つための10のヒント:McAfee Blog
個人情報や金融情報を安全に保つためには、まず重要なアカウントに対して強力なパスワードを設定することが一番の方法であるということは以前からよく言われてます。これは1度のデータ侵害で、何万ものユーザーパスワードが外部に漏れてしまうといった企業のハッキングが拡大している現代には、必要不可欠なルールといっても過言ではないでしょう。もし、SNSやオンライン銀行口座など、インターネット上の様々なサイトでパスワードを使い回していると、ハッカーはたった1つのSNSなどへの攻撃で流出したログイン情報データ等を利用し、他のサービスにもログインしてしまいます。そうならないためには、パスワードマネージャーを使って、すべてのアカウントに強力なパスワードを作成し、保存することをお勧めします。
また、それぞれのオンラインアカウントに多要素認証機能が備わっているかどうかを確認しましょう。これは、本人確認の際に複数の情報を必要とする機能です。例えば、あるアカウントにログインする際、パスワードやパスフレーズに加えて、携帯電話に送信されるコードを入力する必要がある場合など、通常のパスワードを1回のみ入力するログイン方法よりも、よりセキュリティが厳重になっています。
2. ネットワークセキュリティの強化ログインの安全性が向上したら、接続の安全性を確認しましょう。おそらく自宅や職場ではデータを暗号化するパスワード保護されたルーターを使っていることと思います。しかし、外出先では、公共の無料Wi-Fiを利用したくなるかもしれません。しかし、公共のWi-Fiの問題点は、その多くがセキュリティの確保がされていないことです。つまり、ハッカーが比較的簡単にあなたのデバイスにアクセスし、情報を盗むことができてしまいます。その解決策として、VPN(Virtual Private Network)を使用することを検討してみてはいかがでしょうか。VPNとは、インターネット上に安全な接続を構築するソフトウェアで、どこからでも安全に接続することができます。
3. ファイアウォールの使用ネットワークが安全になった場合でも、より安全を確保するためにはファイアウォールを使用する必要があります。ファイアウォールとは、コンピュータやデバイスへの不正アクセスを防ぐための電子バリアで、しばしば包括的なセキュリティ対策ソフトに付属されています。ファイアウォールを使用すると、スマートサーモスタットやWebカメラのようなIoT(Internet of Things)デバイス含め、ネットワークに接続されているすべてのデバイスのセキュリティが確保されます。しかし、多くのIoTデバイスには、セキュリティ対策が搭載されていないため、ハッカーがネットワーク全体に侵入するための脆弱なポイントとなってしまうという点は注意が必要です。
4. クリックする際は慎重に高性能な技術的対策を実践した後は、不用意なクリックをして危険を招かないように気をつけましょう。今日のオンライン上には、フィッシングやソーシャルエンジニアリングを中心に多くの危険があります。ソーシャルエンジニアリングとはネットワークに侵入するために必要となるパスワードなどの重要な情報を盗み出す方法です。これらは明らかに詐欺目的のために、個人情報や機密情報を騙し取るものばかりです。スパムメール、「無料」と書かれた偽のサービスや商品、釣りタイトル、オンラインクイズなどこれらはすべて、危険なリンクをクリックさせるために誘導し、個人情報を盗むための手法です。仮にあまりにも条件が良すぎるサービスや、常識を超える範囲で多くの個人情報を求められた場合には注意してください。
5. 共有する前に考える最近ではオンラインやソーシャルメディアで個人が様々な情報を共有する機会が多いです。しかし、その中でも特に個人情報に関しては、共有する内容に注意するようにしましょう。そういった情報は、犯罪者があなたになりすましたり、パスワードやセキュリティ質問、ログイン情報を推測するために利用される可能性があるからです。
6. モバイルライフを守るモバイル機器はノートパソコンと同様に、オンライン上で危険にさらされる可能性があります。実際、タブレットや携帯電話は、危険なアプリやテキストメッセージで送られてくるリンクのような新たな危険に直面しています。クリックする際には細心の注意を払い、見知らぬ人からのメッセージは反応せずに無視してください。アプリを使用する際はまず、他のユーザーたちのレビューを読んで信頼性があるかどうかを確認し、ダウンロードする場合は必ず公式アプリストアから行ないましょう。また、すべてのデバイスでセキュリティ対策ソフトが有効になっていることを確認しましょう。
7 .安全にネットサーフィンとショッピングをするためにオンラインショッピングをする時、クレジットカードや金融情報を入力する時、オンライン銀行やその他の機密性のある取引を行なうウェブサイトにアクセスする時は、必ずウェブサイトのアドレスを確認してください。アドレスは「http」ではなく、sがついた「https」で始まり、URL欄には南京錠のアイコンが表示されているかどうか確認しましょう。これはそのウェブサイトが安全かつ、個人情報を狙う泥棒が傍受できないようにデータを暗号化しているということを示しています。また、アドレスにスペルミスや文法的な間違いがあるウェブサイトは注意しましょう。これはこのウェブサイトを訪れた人を騙して情報を盗むために正規のウェブサイトを模倣している偽のウェブサイトの可能性があります。McAfee WebAdvisorなどの安全な検索ツールを使って、危険なサイトを避けるようにしましょう。
8. 常に最新の状態を保つすべてのソフトウェアを更新して、セキュリティの欠陥を修正するプログラムであるセキュリティパッチの最新版を常に入手しておきましょう。コンピュータ、タブレット、携帯電話内のアプリやセキュリティ対策ソフトのアップデートを手動設定にしていると、ついつい更新するのを忘れがちになります。各デバイスが危険に遭わないためにも自動アップデートを有効にして、セキュリティ対策ソフトが定期的にスキャンを行うように設定しましょう。
9. 最新の詐欺には注意インターネット上にある詐欺やサイバー犯罪などの手口は常に進化し続けています。どんなことに注意しておくべきかを確認しておきましょう。現在、被害が増加傾向にあるのは「ランサムウェア」です。これはハッカーが会社のコンピュータに侵入し、ロックをかけて一時的に使用できなくさせ、多額の身代金を払わないとすべてを使えなくすると脅迫してくるという手口です。もし情報を盗まれた場合、このような大事件が起こりえるということを常に頭に入れておきましょう。
10. 警戒を高める<オンライン上での行動、閲覧するウェブサイト、SNSで共有する内容には常に細心の注意を払いましょう。包括的なセキュリティソフトを使用し、もし何かあったときのためにデータのバックアップを定期的に取るようにしましょう。また、インターネットを安全に使用するためにいくつかの基本的なルールを守るなど、前もって対策を講じることで、個人情報の盗難やマルウェアから身を守り、個人情報や財務情報を安全に保つことができるでしょう。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
