さまざまなサービス間で
パスワードの使い回しはNG
最近では、スマートフォンやPCの利用時にさまざまな認証方法が用いられる。顔認証や指紋認証の利用が当たり前の時代になった一方で、パスワードも認証方法として未だに根強く使われている。
パスワードといえば、「使い回す」ことが問題視されることは知っている人も多いはず。使い回しがNGとされる理由の一つに、「パスワードリスト攻撃」というサイバー攻撃がある。
パスワードリスト攻撃とは、悪意を持った人間が不正に入手したIDとパスワードのリストを使って、不正アクセスを試みるというもの。正規のIDとパスワードを使ってログインしようとしているため、認証情報が相手に入手されてしまった場合、不正ログインを防ぐことが難しい。
たとえば、企業から顧客のデータが流出し、その中にサービスにログインするためのIDとパスワードが含まれていたとする。そのデータを入手した人間は、他のサービスにもそのIDとパスワードで不正アクセスを試みようとするだろう。
そのため、異なるサービス間で同じパスワードの使い回しをしていると、不正アクセスを許してしまう可能性がある。
LINEヤフーは、2025年6月に実施したフィッシング詐欺に関するアンケート結果を公表している(フィッシング詐欺に関するアンケート結果を公表 6月9日「サイバー防災の日」は、自分のアカウントの安全を再確認! | LINEヤフー株式会社のプレスリリース)。
それによれば、フィッシングメールやSMSを受け取ったことがある人は82%、フィッシングメール内のURLにアクセスしたことがある人は13%。しかし問題は、複数のネットサービスやスマホアプリで同じパスワードを使っている人が48%にのぼるという点だ。
つまり、半数近くの人が、未だにパスワードの使い回しという“リスク”を冒していることになる。サービスごとに異なるパスワードを設定しておくことで、パスワードリスト攻撃の被害を防いでおきたい。
パスワードを自分だけのルールで作る
パスワードの使い回しだけでなく、推測されやすい単純なパスワードを利用するのもよくない。では、どうすればよいか。
アルファベット、数字、記号などを混ぜ、長い文字数にするのがよいといわれることが多い。あるサービスでは「password01」、別のサービスでは「password02」……というような、一部を変えただけのものは推測されやすいので注意。
パスワードの“ヒント”を紙などに書き、肌身離さず持ち歩くという手もある。アナログな発想だと思われるかもしれないが、物理的な紙に記入しておいた場合、サイバー犯罪では閲覧できず、何らかの手段で「盗み出す」「覗き見する」などをしない限り、所有者以外には確認が困難になる。
その場合は、「パスワードそのものは書かない」点が重要。自分にしかわからない、パスワードを思い出せる情報を書いておくとよい。
パスワードとSMSで送られてくるコード、パスワードと指紋認証など、異なる認証要素を組み合わせるセキュリティ「他要素認証」の導入もしておきたいところ。
なお、内閣サイバーセキュリティセンター(NISC)のガイドラインによると、パスワードの定期的な変更は、パスワードの単純化やワンパターン化、複数サービスでの同一パスワードの使い回しなどといったリスクを招くとして推奨されていない(インターネットの安全・安心ハンドブック Ver5.00 第6章)。
もちろん、パスワードの強化だけでなく、全体的なセキュリティの強化も忘れてはならない。信頼のできるセキュリティソリューションを導入し、ウイルスやマルウェアの脅威から身を守っておくのは、現代社会では必須の態度だ。
今回は、McAfee Blogから「自分で実行できるオンライン上での基本的なセキュリティ対策」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
自分で実行できるオンライン上での基本的なセキュリティ対策:McAfee Blog
近年、様々な手口のサイバー犯罪が日本各地で発生しており、毎日のようにニュースで取り上げられています。サイバー犯罪は、インターネットが必要不可欠な存在になっている現代において深刻な社会問題の1つといえます。厄介なのが次から次へと新しい手口で私達に襲いかかってくるという点で、その度に新しい対策を講じる必要が出てきます。果たして、サイバー犯罪に怯えることなく、インターネットを利用することはもう不可能なのでしょうか。今回は、普段からインターネットを利用しながらでも実行できる基本的なセキュリティ対策に加えて、有効的なセキュリティ対策の1つであるマカフィー+についても詳しく解説します。この記事を読んで実生活と同様にオンライン上でのセキュリティ意識をより高めましょう。
サイバー犯罪者達は日本企業や技術力を狙っている
最近、日本国内ではSNSを使った詐欺事件やランサムウェア攻撃による企業の被害などが連日報道されているように、以前と比べてサイバー犯罪がより身近な存在になってきています。これまでの日本はトヨタや日産などの自動車製造をはじめ、技術革新によって高品質な製品を生み出す製造業など様々な分野で世界をリードする経済大国として知られていました。しかし近年、この日本の技術力の高さが他国や海外のサイバー犯罪者の主なターゲットとなっています。
ここ数年、中国などのハッカー集団から日本企業や公共団体に向けてのサイバー攻撃が非常に増えており、多くの企業がサイバー攻撃対策を積極的に導入しはじめています。特に大企業や公官庁など特定のサーバーやシステムを使用不能にして身代金を要求するランサムウェア攻撃は日を追うごとに増加しており、現代社会における悩みの種となっています。
私達の生活の中でもより身近な存在になりつつある
2019年末からしばらく続いた新型コロナウイルスパンデミックの影響により、今まで日本人にとって当たり前だった電車通勤や残業などが見直されるなど、私達日本人の働き方も大きく変わり始めています。最近は、会社に出勤せずに自宅やカフェなどで遠隔で仕事をするリモートワーク(またはテレワーク)が普及しており、これまでの通勤時間をそのまま自分の自由な時間に使えるようになりました。しかし、自宅をはじめ、カフェや駅など公共のWi-Fiはセキュリティ面が脆弱なことが多く、機密性の高い情報を共有する際に大きなリスクがあり、度々情報流出などの事件が起きています。加えて、個人のデバイスで会社のデータベースへアクセスしてしまい、社内情報が漏洩してしまったり、社員用デバイスから悪意のあるウェブサイトへアクセスしてしまった結果、マルウェアに感染してしまい、サイバー犯罪者に社内システムへ不正アクセスされてしまうなどの被害が次々と起こっています。
また、SNSの普及によって様々な事件が起きています。IDやパスワードが漏洩してしまい、アカウントが乗っ取られてしまい、個人情報が漏洩しまうユーザーは後を絶たず、最近は高額の報酬と引き換えに特殊詐欺への勧誘なども頻繁に発生しています。
さらにここ10年ほどでスマート家電と呼ばれるIoT技術が組みこまれた家電が一般的となっていますが、実はここでも問題が起きています。スマート家電はスマホやタブレット、パソコンと連動して遠隔操作が可能な便利な家電ですが、IDやパスワードが漏洩されてハッキングされることによって様々な犯罪に悪用されています。
例えば、自宅の監視カメラは不在時でもスマホを使って遠隔に管理することができますが、サイバー犯罪者に乗っ取られてしまうとカメラ自体を止められてしまい、不法侵入される恐れがあります。スマートメーターが自宅の電力をデジタルで計測することができますが、ハッキングされてしまうと、不正に書き換えられて電気料金を過剰に請求されてしまったり、サイバー犯罪者に電力消費量知られしまうことで不在時間に空き巣に入られてしまう危険があります。車や自宅の鍵に遠隔で使用できるスマートキーを使っている場合は、ハッキングされてしまうと車が盗難の被害に遭ったり、泥棒に入られてしまうなどの被害が日本国内でもいくつか発生しています。
このように私達の働き方や利便性が向上するにつれて、サイバー犯罪に遭遇する確率も高まっているといえます。
自分でも簡単に実行できるセキュリティ対策
上記で紹介したようなサイバー犯罪に巻き込まれないためにも日頃から自分自身ですぐに実行できることはあります。以下では、基本的なセキュリティ対策をまとめました。
怪しいメールやURLはクリックしない
送り先が不明なメールやメール内に添付されているURLには、マルウェアなどが仕掛けられている可能性が高いため、非常に危険です。最近はメールだけでなく、SNS上で芸能人や容姿端麗な人を装ってメッセージを送りつけてくる手口が増えています。見覚えのない大手企業を名乗るメールやメッセージはほぼ詐欺と考えて間違いありません。怪しいURLのクリックはもちろんのこと、メールの開封も絶対にしないようにしましょう。
推測されにくいパスワードを設定する
パスワードの漏洩は情報漏洩の中でも最も簡単な手口の1つです。インターネット上におけるオンラインサービス利用者の多くは、自分の誕生日や11111111や12345678などの単純なパスワードを使用しています。その多くが同じパスワードや類似のパスワードを使い回しているため、どれか1つのパスワードがサイバー犯罪者に知られてしまうと、複数のアカウントにアクセスされてしまう危険性があります。パスワードを推測されないためにも、大小の英字、数字、記号などを複雑に組み合わせた最低8文字以上のパスワードを作り、各サービスごとに異なるパスワードを使用することをおすすめします。
OSのバージョンは常に最新の状態に
サイバー犯罪者はデバイスのOSやアプリの脆弱性を狙って攻撃を仕掛けてきます。それらの欠陥や脆弱性を修正する度に最新のバージョンがリリースされます。お使いのパソコンやスマホのOSやアプリを常に最新版を保つことは、サイバー攻撃を防ぐ重要な役割を担っているので、新しいバージョンがリリースされたらすぐに更新することを忘れないようにしましょう。
ログインする際に多要素認証を利用する
各オンラインサービスにおいて、サイバー犯罪者に簡単にログインされないためにも、多要素認証などの導入は必要不可欠といえます。多要素認証とは、本人確認する際のセキュリティ面をより高めるために複数の認証を行なう認証方式です。従来のパスワードや暗証番号に加えて、指紋や顔認証などの生体認証を組み合わせることでログインする際により強力なセキュリティ対策となります。
個人情報の公開を制限する
最近発生している犯罪や事件の多くはSNSがきっかけというものも少なくなく、SNS上では誰が見ているかわかりません。個人情報を守るためにもSNS上で自分に関する情報を発信する際に、必要以上の情報が含まれていないかを投稿する前に見直す習慣をつけるようにしましょう。
公共のWi-Fiを使用する際には必ずVPNに接続する
カフェや駅など誰でも利用できる公共のWi-Fiはセキュリティ面が脆弱な場合が多く、しばしばサイバー犯罪者が罠を仕掛けていることがあります。何も考えずに公共のWi-Fiを利用してしまうと、スマホの中の個人情報が抜き取られたり、マルウェアに感染してしまう危険があるので、利用する際はVPN(仮想プライベートネットワーク)に接続することをおすすめします。VPNは、お使いのデバイスからのインターネット通信を暗号化するので、外部から情報が盗み見られてしまう心配がなくなります。
マカフィーの総合的なセキュリティ対策ソフトの導入
オンライン上の脅威は日を追うごとに増えているだけでなく、進化しており、私達は早急な対策を迫られています。しかし、お使いのデバイスに優れたセキュリティ対策ソフトを導入することで多くの脅威を防ぐことが可能です。
マカフィーが提供しているマカフィー+には、前述のVPNをはじめ、様々な優れたセキュリティ対策機能が搭載されているので、個人・法人ともにお使いのデバイスを保護するために最適な方法といえます。
例えば、パスワード管理機能は複数のオンラインサービスにおけるパスワードを自動保存してくれるため、ひとつひとつ覚えておく必要がなくなるだけでなく、複雑なパスワードを生成してくれるので安全です。また、ID・個人情報のモニタリング機能は、ダークウェブ上で最大60種類までの特定のIDやメールアドレスなどの個人情報を常に監視し、検出された場合はすぐに知らせてくれます。そして、詐欺SMS検知機能は最近リリースされた最新の機能で、これはマカフィーのスマートAIがSMS内の詐欺リンクを検出したり、誤ってSNSやメール内にある危険なURLをクリックしてしまった際に通信をブロックしてくれます。
このようにマカフィー+には様々な優れたセキュリティ対策機能が搭載されており、マルウェアなどオンライン上の様々な脅威からお使いのデバイスを保護する重要な役割を担っています。
まとめ
今回は、現代の課題でもあるオンライン上の様々な脅威を解説しつつ、自分でも実行できる基本的なセキュリティ対策を1つずつ紹介してきました。私達はこれまで事故や病気など、物理的な危険を避けるために様々な対策を施してきましたが、それに加えて現代ではオンライン上でも気をつける必要があります。これまで紹介した通り、インターネットには様々な危険が潜んでおり、どれが安全かどうかを自分自身で判断するのは非常に難しいといえる状況にまで世の中が発展してきました。インターネット上を主戦とするサイバー犯罪者達は、オンライン上の至るところに身を潜めており、ひとたびチャンスとみると一気に攻撃を仕掛けてきます。
オンライン上で犯罪に巻き込まれないためには、今回紹介した基本的な対策はもちろんのこと、マカフィー+のような優れたセキュリティ対策ソフトを導入することが安全な生活を送るためには必要不可欠といえます。そして、最新の犯罪手口に対して常にアンテナを張り、把握しておくことも重要といえます。サイバー犯罪は、年々手口が巧妙化しており、自分だけではなく友人や仕事先にまで被害を与える危険があります。サイバー犯罪に巻き込まれて手遅れにならないためにも、今回紹介したような優れたセキュリティ対策ソフトを早めに導入することをおすすめします。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
