10月4日にゆうちょ銀行のデビットカードサービス「mijica」に不正アクセスがあり、1,422人のユーザーの情報があったという発表がありました。
ここ最近SBI証券から不正の送金であったり、ドコモ口座の不正利用など悪意のある不正アクセスが相次いでいます。
そのため、あなた自身も他人事ではなく被害に遭う可能性も十分あり得ます。
2020年の不正アクセス関連は急増
サイバーセキュリティ.comによると2020年9月末時点での個人情報漏洩に関する事件は、
46先で合計最大で1億4545万6962件の個人情報漏洩が発生しています。
これは個人だけでなく法人の被害も含まれていますが、件数だけだと日本国民全体の情報が1度は流出するのと同様の件数です。
原因は不正アクセスされただけではなく、ハッキングや社内の人的ミスも含まれています。
また、情報処理推進機構によると、2020年の情報セキュリティにおいて特に注意すべき脅威をランキングで発表しています。
| 1位 | スマホ決済の不正利用 |
| 2位 | フィッシングによる個人情報の詐取 |
| 3位 | クレジットカード情報の不正利用 |
| 4位 | インターネットバンキングの不正利用 |
| 5位 | メールやSMS等を使った脅迫・詐取の 手口による金銭要求 |
| 6位 | 不正アプリによるスマホ利用者への被害 |
| 7位 | ネットの誹謗・中傷・デマ |
| 8位 | ネット上のサービスへの不正ログイン |
| 9位 | 偽警告によるインターネット詐欺 |
| 10位 | ネット上のサービスからの個人情報の窃取 |
不正アクセスは簡単なパスワードにしている方やフィッシングサイトに情報を入力した方などを中心に不正アクセスをされて被害に遭っているケースがあります。
私自身、過去に簡単なパスワードにしていてクレジットカードの被害に遭ったことがありますが、
対策をしてからは一度も被害はありません。
そのため、自分の大切な個人情報は自分で守る必要があるのです。
不正アクセスから守る5つの対策とは
では実際に不正アクセスから大切な個人情報を守るための対策を解説します。
- パスワードを変更する
- 多要素認証を必ず導入
- ソーシャルエンジニアリングに注意
- SMS、メールに怪しい内容が送られてきたら絶対開かない
- OS、アプリを最新にバージョンアップしておく
パスワードを変更する
結論からお伝えすると、
- 最低10桁以上
- 大文字英語、小文字英語、数字、記号の4つを必ず含める
- ランダムで生成する
この3点が必須です。
なぜならそれ以下の桁数や記号などを含めないと、数分〜数日程度で解読されるからです。
仮に10桁でもアルファベットのみだと1ヶ月程度で解読が可能です。
これを大英、小英、数字、記号の4種類を含めると解読までに52年かかるという計算になります。
また今後もこの解読精度が高まることが予想されるため、今後10桁でも少ないと言われる可能性も十分あります。
参考に私は仮想通貨のアカウントに関しては20桁で設定しています。
パスワード管理ツールを利用しよう
パスワードを10桁以上にするともはや記憶では不可能かと思います。
また、極力同じパスワードを使い回すことも危険なため、オンライン銀行、証券会社、キャッシュレス決済関係などは特にパスワード自動生成などでランダムに作成するべきです。
また、管理するためにセキュリティの高い「1Password」などのアプリで管理するようにしましょう。
ブラウザにIDとパスワード保存は?
ブラウザにIDとパスワード保存機能があります。
「このパスワードを保存しますか?」と表示が出たりしたのを見たことがあるかもしれません。
これを利用する場合は、
- その端末(スマホ、PCなど)が必ず自分しか利用しない
- そのブラウザにログインするために二段階認証をしている
- フィッシング詐欺に引っかからないこと
この3つが絶対条件です。
ブラウザ上にパスワードを記憶させたあとに、このパスワードを取得される可能性として、ブラウザにログインされることが原因としてあります。
そのため悪意ある第三者がログインしようとして、二段階認証でご自身のスマホに設定をしていた場合は簡単にはログインはできません。
しかし、フィッシングとして何かしらのサイトで本物だと思って、偽のサイトにスマホの情報を入力してしまうと二段階認証も破られてしまう可能性もあります。
上記の3点が間違いなく守れる場合にのみ、利用するようにしましょう。
多要素認証を必ず導入
多要素認証とは、
- 知的要素
- 所持要素
- 生態要素
の3種類があります。
それぞれ後述しますが、これらを設定しておくことで万が一IDとパスワードがバレたとしても、
2つ目のログイン要素で不正ログインを阻止することが可能になります。
特に最近のドコモ口座の不正出金に関しても、この多要素認証(二段階認証)がないために起きた事件です。
そのため、今後はこの二段階で防ぐサービスがないキャッシュレス決済などは利用しないようにしましょう。
知的要素
知的要素とはあなたしか知らない情報を追加で入力する方法です。
よくあるのが、
- 母親の旧姓は?
- ペットの名前は?
- 初めて購入したCDは?
などの質問がある場合のサイトを利用したことはあるかもしれません。
このようなあなたしか知らない質問と答えを用意しておく方法です。
所持要素
これはよく言われる二段階認証として利用されているケースも多いかと思います。
お持ちのスマホや専用トークンの機械を保有して、ログイン時に自分の番号宛にSMSで番号が送られてきて、その番号を入力したりします。
その他にも仮想通貨の取引所だと「Google Authenticator」というアプリを利用した二段階認証方式もあります。
これは自分のアプリ内で6桁の認証コードが30秒ごとにランダムで切り替わり、この6桁をログイン時に入力する仕組みです。
生態要素
これは指紋や顔認証などのスマホやPCに備わっている機能です。
ご自身の生態でないと反応することができないため、これらの設定は必ずしておきましょう。
ソーシャルエンジニアリングに注意
ソーシャルエンジニアリングとは「心理的」も狙った非システム的な手法で、悪意をもってパスワードを不正に取得する方法です。
例えば、
- カフェなどで後ろからログイン情報を盗み見る
- 企業のヘルプ担当になりすまして電話で情報を聞き出す
- パスワードが書かれたメモ書きをゴミ箱から拾う
など人為的にもパスワードを取得する悪意あるものがいます。
特にフリーランスでカフェで仕事をする人も増えていますが、カフェなどのオープンな場で重要なログイン情報を画面に出さないよう細心の注意が必要です。
SMS、メールに怪しい内容が送られてきたら絶対開かない
怪しいと思ったら絶対に開いてはいけません。
開封するだけでも開封したアドレスなどがわかってしまいます。
すると、悪意ある人間としてはこの人は「開封する人だ」という懐が甘いのでは?ということからターゲットにされかねません。
また、銀行などから送られてくるメールやSMSも見た目は全く同じログイン画面で作っているため、見た目の判断はできません。
唯一判断ができる箇所は【URLのみ】です。
そのため、銀行からの重要な情報かなとメールを開いてしまっても、【絶対にメール内のURLはクリックしない】ようにしましょう。
必ずメールやSMS内からではなく、いつもご自身が見ている方法(公式アプリやブックマークなど)からログインするようにしてください。
もしもメール、SMS内のURLからクリックしてID、パスを入力してしまったら
このやり口がフィッシングサイトからIDやパスワードを取得する方法であり、ログインの入力フォームは本物と見分けがつかないです。
あ、しまった!と感じた場合は、直ちにパスワードを変更するようにして下さい。
上述の二段階認証設定をしていたら、この段階では不正アクセスはできません。
しかし、パスワードが漏洩している可能性があるので、変更するようにしましょう。
OS、アプリを最新にバージョンアップしておく
OSやアプリなどはセキュリティの強化のためにもアップデートをすることがあります。
過去にキャッシュレス決済のペイペイも当初は本人確認制度が緩く、不正利用されたケースがありましたが、
アプリをアップデートすることで厳重なセキュリティに対応するようになっています。
常に最新の状態にしておくことでセキュリティ対策を強化することに繋がります。
まとめ:不正アクセスは自分で守る時代、正しく対策をして資産を守りましょう
- パスワードを10桁以上、4種類を使って変更する
- 多要素認証(二段階認証)を必ず導入
- ソーシャルエンジニアリングに注意する
- SMS、メールに怪しい内容が送られてきたら絶対開かない
- OS、アプリを最新にバージョンアップしておく
これらを守ることで不正アクセスのリスクはかなり減少します。
銀行口座など大切な資産を守るためにも、手間は増えても必ずやるべきことです。
自分の情報は自分で守れるようになったらあとは資産形成を進めるのみです。
コメント