著作者:macrovector/出典:Freepik
二要素認証さえしておけば安全……ではない
さまざまなネットサービスやSNSを利用するにあたり、アカウントを保護することはきわめて重要になってくる。ここ数年、複雑で強力なパスワードが求められるだけではなく、「二要素認証」が推奨されることも多い。
二要素認証は、パスワードとSMSで送られてくるコード、パスワードと指紋認証など、異なる認証要素の2つを組み合わせるセキュリティだ。多くのネットサービスで利用可能になっており、サービスやアプリ側から設定を促されることも多いだろう。
“認証要素”は、大きく分けて3つある。IDやパスワード、秘密の質問などの「知識要素」。スマートフォンを使ったSMS認証やアプリ認証など、その人が所有しているものに付随する情報の「所有要素」。顔認識や指紋、虹彩(目の膜)など、身体的な情報の「生体要素」だ。
よって、2つの要素を使った本人認証は「二要素認証」となる。
対して、認証が二段階になっていても、同一の要素で認証するものもある。例えば、IDとパスワード、さらに秘密の質問を入力するといった認証は、どちらも知識要素によるものなので、二要素認証とは呼べない。この場合は「二段階認証」と呼ばれることが多い。
しかし、二要素認証を設定しておけば安全というわけではない。それが設定されていることを見越したサイバー犯罪もある。
フィッシング対策協議会は3月、リクルートIDサポートデスクなどを騙って偽のWebサイトに誘導し、クレジットカード番号などを含む個人情報を入力させるフィッシングの報告があったとして、注意を喚起している(フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | リクルートID をかたるフィッシング (2023/03/09))
報告のあった事例は、「あなたのリクルートIDにおいて、なりすましログインが発生されると考えられるため、二段階認証を無効化した」として、二段階認証を再設定してほしい……という内容のメールを送り付け、フィッシングサイトに誘導するという手口だ。
このように、消費者側がセキュリティに気をつけている現在だからこそ、あえて消費者側に「解除させる」ようなサイバー犯罪の手口も増えてきているのだ。
焦って対応することなく、落ち着いて行動
「あなたのIDが漏えいした」「二要素認証を解除してほしい」などといったメールが届いたら、どうするべきか。
まず、リンクをタップ/クリックしてはならない。自分から検索して公式にアクセスし、同様のお知らせがないか確認してみよう。IDやパスワードなどの個人情報が漏えいするという重大トラブルが発生した場合、公式でアナウンスしていないとは考えにくいからだ。
メールやSMSからのリンクからアクセスしたサイトには、できる限りIDやパスワードを入力しないように心がけよう。よく利用するサービスへのアクセスとログインには、公式のアプリや、ブラウザのブックマークなどからアクセスする……ということを徹底したい。
フィッシング詐欺の多くは、「急いで対応しなければ」と焦らせるような文面になっている。ログイン情報を要求するメッセージなどに関しては、公式サイトのヘルプデスクなどから問い合わせて確認するのも手だ。慎重に対応することを心がけよう。
不審に思った場合や、トラブルにあった場合は、最寄りの消費生活センターなどに相談する手段もある。
もちろん、パスワードの強化だけでなく、全体的なセキュリティの強化も忘れてはならない。信頼のできるセキュリティソリューションを導入し、ウイルスやマルウェアの脅威から身を守っておくのは、現代社会では必須といえる。
今回は、McAfee Blogから「解説:デジタルアイデンティティの保護について」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
解説:デジタルアイデンティティの保護について:McAfee Blog
現在、インターネットを使用する割合が高い20〜30代の人々を中心にオンライン上でデジタルアイデンティティを盗まれたり、勝手に無断転載されてしまうという事件が頻繁に起きていますが、実はそれは自分達のお金や財産を失うのと同じことを意味しています。
デジタルアイデンティティとは、簡単に言えば、インターネット上でのあなた自身の姿です。それはインターネット上でのあなた自身に関連した、ありとあらゆる情報をもとに作り上げられています。例えば、SNSなどのオンライン上に投稿した写真、オンラインショッピングのアカウント、Eメールのアカウント、電話番号、銀行口座、クレジットカード情報、納税者番号など、さまざまなものがあります。
このように、デジタルアイデンティティは、さまざまなアカウントやID番号などで構成された何十個ものジグソーパズルのピースのようなものです。それらの情報を一つにまとめることで、あなたという人物の姿が浮かび上がってきます。だからこそ、ハッカーにとって、あなたのインターネット上でのアイデンティティを構成する小さなジグソーパズルのピースは魅力的なターゲットであり、うまく組み合わせられてしまうと、窃盗や詐欺の被害に遭う可能性が高くなってしまいかねません。
ミレニアム世代は詐欺の恰好のターゲット
アメリカでは20〜30代の人々がオンラインショッピングでお金を失ったと報告する割合は、40代以上の人の2倍に上ります。米国連邦取引委員会(FTC)が最近、発表した数字によると、詐欺被害の報告で、他の年代と比べても特に20〜30代の人が詐欺に遭う確率がはるかに高いということが明らかになっています。さらにEメールによる詐欺でお金を失う確率は77%と、高齢者のと比べてもより高い確率となっていることがわかります。
一方、日本ではこれまで多かった詐欺案件は主にお年寄りをターゲットしたことが多かったですが、最近は詐欺行為自体がより巧妙化しています。新型コロナウイルス感染症関連の給付金などを利用した詐欺をはじめ、SNSでの投稿からアカウントの情報を盗み、インターネット上で個人情報がさらされたことで仕事や私生活に支障をきたしてしまうという被害が増えています。
また、フィッシング対策業議会のインターネットサービス利用者に対する 「認証方法」に関するアンケート調査結果報告書によると、20〜30代の実に7割以上がGoogleやYahoo!などの総合サービスや、FaecbookやTwitter、InstagramなどのSNSの個人アカウントを、他のサービスに会員登録やログインする際に利用していると回答。こういったことが原因で個人情報が漏洩してしまい、結果的に急増しているフィッシングメールなどの詐欺被害に遭ったりしていると推測されます。
しかし、このように若年層が狙われるのはある意味、当然のことかもしれません。その理由として、若年層はモバイルアプリを利用した個人間の支払いや口座間の送金、入金確認、請求書の支払いなどを行う可能性が、他の年齢層よりもはるかに高いということがいえます。近年、インターネット上でお金の取引が簡単になったことで、携帯電話やパソコンを利用すれば誰でも気軽にお金を動かすことができるようになり、それが詐欺などの被害増加にも繋がっているといえます。
ハッカーからの攻撃や詐欺から身を守るためにはまず、自分のデジタルアイデンティティを守る必要があります。デジタルアイデンティティにはさまざまな情報が含まれているため、これはとても壮大で途方もなく、個人の力では到底太刀打ちできないような課題のように感じられます。しかし、自分のアイデンティティをジグソーパズルのように考えれば、実は案外、解決できるかもしれません。もし、複数のパズルのピースを盗まれて完成させられてしまったらハッカーたちにお金を提供してしまうことになりますが、パズルのピースがそろわなければお金は奪われることはないでしょう。したがって安全を確保するためには、パズルのピースを他人の手に渡さないように注意することが大事です。
ハッカーや詐欺からデジタルアイデンティティを守るための6つの方法
これに関しては、実はそれほど難しいことではないのです。例えば、あなたのデジタルアイデンティティを守るための手助けになるようなアプリを試してみるなど、いくつか新しい習慣を身につければ、詐欺の痛みに一切悩ませられることもなく、自分で自分自身を守ることができるでしょうここでは、すぐに始められる簡単な方法を紹介します。
1. 基本であるセキュリティソフトの導入
自分の事は自分自身で守るために、まずはパソコンや携帯電話にセキュリティソフトをインストールして使用することで、インターネット上でのあらゆる攻撃を防ぐことができ、ネットサーフィンやネット銀行での決済、オンラインショッピングなどをより安全に行うことができます。そして、ここでもう一度強調しておきたいのは、スマートフォンをはじめとする携帯電話の保護対策の重要性です。タクシーを呼んだり、デリバリーで食事を注文したり、友人にお金を送ったりと頻繁に携帯電話を使っているにもかかわらず、実は携帯電話を保護対策を行なっている人は約半数ほどしかないと言われています。オンライン上で保護されている時と比べて、携帯電話を何も保護されていない状態のまま、インターネット上でお金を送金したりするなどすることは大変危険で安全性とはかけ離れているということを意味します。
2. 強力なパスワードを作る
インターネットのセキュリティ対策として、これまでよく耳にされた方も多いとは思いますが、強固でユニークなパスワードはハッカーからの攻撃に対する最大の防御策のひとつです。SNSなどさまざまなオンライン上でのプラットフォームやサービスでパスワードを使い回さないようにしましょう。また、定期的に(少なくとも60日ごとに)パスワードを更新することも忘れないでください。これは一見、面倒な作業に思えますが、パスワードマネージャーがすべてを管理してくれるので問題ありません。また、使っているプラットフォームやサービスで2段階認証が利用できる場合は、ぜひ活用してください。2段階認証をすることで、セキュリティ対策がより強力になり、犯罪者からのハッキングを防ぐことに役立ちます。
3. 最新版にアップデートし続ける
最新版へのアップデートは携帯電話やパソコンに毎日のように表示され、ついつい後回しにしたくなります。しかし、そんな気持ちを抑えてできるだけ早くアップデートするようにしましょう。アップデートには、機能の向上や改善だけでなく、セキュリティ面での修正も含まれていることがよくあり、実はとても重要なことです。携帯電話やパソコンなどの端末でOSやアプリから通知が表示されたら、すぐにアップデートしてください。ハッカーたちはアプリの古いバージョンの欠点を悪用しようとしてきます。OSやアプリをアップデートするということは、それらから身を守るもう一つの防御策だと考えておきましょう。
4. 共有するときは一度立ち止まってよく考えてみる
近年、人々はソーシャルメディア内で必要以上に情報を共有してしまいがちですが、それはハッカーたちにとって、個人情報を盗むために利用する格好の場所になっているといえます。誕生日や、過去に通っていた学校名、母親の旧姓、最初に乗った車の種類などの情報があれば、一般的なセキュリティ対策でよくある質問に答えることができ、アカウントに侵入することができます。自分のアカウントのプライバシー設定の強度を上げて、友人や家族しか自分の投稿を見ることができないように設定しておきましょう。また、ソーシャルフィードに時々表示される「クイズ」も注意が必要なので、避けた方がいいでしょう。これらはあなたのデジタルアイデンティティを危険にさらす可能性のある情報をハッカーたちが得ようとする方法でもあります。
5. 個人情報等が明記されている紙の書類はシュレッダーにかける
多くの人が請求書のペーパーレス化を進めていますが、ゴミ箱をあさって個人情報を盗む「ダンプスター・ダイビング」は依然として存在します。医療費の請求書、税金関係の書類、小切手などが、あなたの家の郵便受けに届くことがあります。それらは使い終わったら破棄したくなるでしょう。なのでまずはシュレッダーを購入しましょう。そして、オンラインで入金や支払いの確認を済ませたら、その請求書は個人情報や口座情報が読めないようにシュレッダーにかけてから捨てましょう。そうすることで安全にリサイクルすることができます。また、もし外出の際には信頼できる友人に郵便物を受け取ってもらうか、一時的に郵便局で預かってもらうことをおすすめします。そうすれば、あなたがいない間に郵便受けから個人情報が盗まれるのを防ぐことができるでしょう。
6. 自分の信用情報を確認する
自分で問題ないと思っていても、実は何か問題があるかもしれないので、まずは自分の信用情報を確認してみるといいでしょう。実は知らないうちに、あなたの名前で何か請求されている可能性も十分に考えられます。
自分のIDが盗まれていないかどうかを確認する方法
先ほど言及したように自分のIDに何が起こっているかを知る最も早い方法は、日本国内の場合は、日本信用情報機構(JICC)で自分名義のクレジットカード情報などの信用情報をチェックすることです。IDの盗用は金銭だけではありません。詐欺師たちはアパートを借りるため、医療サービスを受けるため、さらには仕事を得るために他人のIDを盗みます。もし仮にIDが盗まれて悪用されていたとしたら、例えば現在と過去に居住履歴リストに身に覚えのない住所が表示されていたり、働いたことのない会社が雇用主として明記されていたりと、そのような情報が信用調査書に記載されています。何かおかしなことがあったら、すぐに確認してましょう。多くの企業には不正防止部門があり、もし自分の名前を使って不当に請求された料金やサービスを発見した場合には、あなたを助けるための手続きを行っています。他の兆候はもっとはっきりしており、回収業者から電話が連絡がきたり、納税通知書が郵便受けに入っていたりすることもあるかもしれません。こういったケースには明らかに「IDが盗まれて悪用されている」というサインなので、できるだけすぐに報告するようにしましょう。
・もし日本国内在住者で誰かが自分の個人情報を使用していると思われる場合は日本信用情報機構でご確認ください。
・もしアメリカに住んでいて誰かが自分の個人情報を使用していると思われる場合はIdentityTheft.govを確認ください。
・カナダではCanadian Anti-Fraud Centreにて、相談することができます。
・また、イギリスではイギリス国内の詐欺防止サービスであるCIFASで確認ください。
上記のように他の多くの国の政府が同様のサービスを提供しています。検索すればすぐに出てくると思いますので、上記以外の国に在住の方などで気になる方は一度調べてみることをおすすめします。
もうひとつの方法としては、各信用調査機関に自分の信用情報の凍結を依頼することです。これにより、詐欺師たちがあなたの個人情報を使って、あなた名義の新しいクレジットカードの作成や口座を開設するのを防ぐことができます。その他の不正行為の警告について、より知りたい方はこちらの詳細をご覧ください。
デジタルアイデンティティを守るために
デジタルアイデンティティを構成する情報は非常に多く、広範囲にわたってその安全性を確保するための方法としては、「もし誰かがこの情報を手に入れたらどんなことが起こるのだろう?」と自問自答し続けることが重要です。さらにどんな小さな情報であっても、保護されていなければ、自分の名前を使った詐欺や窃盗につながる可能性があることを十分に理解しておく必要があります。シュレッダーにかけられていない請求書や、わずか数ドル分の小切手であったとしても、それは犯罪者が必要とするパズルのピースになり、犯罪に巻き込まれてしまう可能性があります。そういった情報を他人の手に渡らないように日々気をつけて行動することがデジタルアイデンティティを安全に保つことに繋がるといえるでしょう。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
