あなたのメールやSNSが乗っ取られたらどうする?安全なアカウント管理の実践法をマスターしよう!
SNSなどのインターネット上のサービス、いわゆるWebサービスでは、ID/パスワードを使った認証が第三者のなりすましによる不正アクセスを防止する手段として使われます。しかしながら、インターネット上には様々な手口でこれらのアカウント情報を盗み出し、金銭や情報を不正に取得しようとする犯罪者が存在します。第三者によるWebサービスへの不正アクセスを回避するために実践したいアカウント管理のポイントを解説します。
巧妙化するアカウント乗っ取りの手口
インターネット上には、Webサービスの本人認証に使われるID/パスワード、いわゆるアカウント情報を盗み、なりすましによる不正アクセスで情報や金銭を得ようとする犯罪者が潜んでいます。アカウントは、一般にユーザが特定のWebサービスを利用するための権利を指し、ID/パスワードのようなアカウントを認証するために使われるものをアカウント情報と呼びます。
最近は、犯罪者による「アカウントリスト攻撃」を用いた不正アクセスが多発しています。この攻撃では、複数のサービスに同一の ID/パスワードを使い回しているユーザの習性を逆手にとり、何らかの方法で取得したID/パスワードを使ってさまざまなサービスへの不正アクセスを試みます。
従来は、1つのIDに対してさまざまな文字列のパスワードを無作為に試す「ブルートフォース」や、あらかじめ辞書として存在するパスワード候補を片っ端から試す「辞書攻撃」と呼ばれる攻撃が主流でした。一方、アカウントリスト攻撃は、あるWebサービスから盗み取ったID/パスワードの組み合わせを使用します。したがって、従来の攻撃に比べ不正アクセスの成功率が高い点に注意が必要です。メールやSNSなどの様々なWebサービスで、みなさんがID/パスワードを使いまわしていることを狙ったものです。
また、実在するサービス提供会社を装ったメールを経由して本物そっくりに作られた不正Webサイトにユーザを誘導し、ID/パスワードなどの情報を入力させるフィッシング詐欺の手口もあります。たとえば、TwitterやFacebookでは、利用者を本物そっくりの偽ログインサイトへ誘導し、ID/パスワードを入力させようとする事案が確認されました。
Facebookの利用者が注意しなくてはならないのは、友達リクエストを無差別に送りつけてくるアカウントです。これらのほとんどはFacebookアカウントの乗っ取りや不正プログラムの拡散、詐欺などの犯罪を目的として作られた偽アカウントです。見知らぬ人物からの友達申請をむやみに承認していると、あなたのアカウントを乗っ取られてしまう恐れがあります。次のようなアカウントからの友達リクエストを承認している場合は、すぐに友達登録を解除してください。
見知らぬ美男・美女の写真付きアカウント
実在する友達・知人、会社の同僚や元同僚と同姓同名のアカウントにも注意してください。犯罪者は、あなたの友人や知人の写真やプロフィールをそのまま流用してアカウントを作成し、友人リクエストを送ってくることもあります。うっかりしていると犯罪者の作成した偽アカウントとつながってしまいます。
友達と同姓同名、もしくは友達
実在する友達・知人、会社の同僚や元同僚と同姓同名のアカウントにも注意してください。犯罪者は、あなたの友人や知人の写真やプロフィールをそのまま流用してアカウントを作成し、友人リクエストを送ってくることもあります。うっかりしていると犯罪者の作成した偽アカウントとつながってしまいます。
友人をトラブルに巻き込む可能性も
犯罪者にID/パスワードを盗まれ、サービスのアカウントを乗っ取られるとどのような被害が想定されるでしょうか。TwitterやFacebookに代表されるSNS、GmailなどのWebメール、Apple IDを例に見ていきましょう。
SNSの場合
TwitterやFacebookに不正アクセスされると、友達リストの友人や知人の個人情報を盗み見られ、友人や知人をターゲットとする攻撃の足がかりを得られてしまいます。また、不正プログラムの仕込まれたWebサイトのURLを記載したメッセージを、友達リストのメンバーに送られてしまう可能性もあります。
Webメールの場合
アドレス帳の友人・知人、不特定多数へのスパムメール送信の踏み台にされ、加害者になってしまう可能性があります。やっかいなのは、アカウントを乗っ取った犯罪者がスパムメールをばらまいても送信履歴を消去してしまうため、不正アクセスに気づきにくいことです。また、犯罪者はメールの送受信内容からターゲットが利用しているWebサービスを調べます。たとえば、Gmailを利用しているユーザがさまざまなサービスのIDにGmailアドレスを使用し、Gmailと同じパスワードを設定している場合、複数のサービスに不正アクセスされてしまうリスクがあります。
AppleIDの場合
iPhoneをはじめとするApple製品の普及に伴い、Apple IDを取得するユーザが増えています。Apple IDが犯罪者の標的になるのは、iTunes StoreやApp Storeを利用するためにクレジットカード情報を登録しているユーザが存在するため。実際に、Apple IDを悪用されてiTunes StoreのコンテンツやApp Storeのアプリをクレジットカードで不正に購入されてしまう、アプリ内の有料アイテムを勝手に購入されてしまうといった被害も想定されます。また、 iCloud上のデータを盗み見られたり、改変されたりするリスクがあることも覚えておきましょう。
理想的なアカウント管理とは?
インターネット上のサービスを利用するユーザは不正アクセスに遭わないよう、適切なアカウント管理を行ってください。第三者に推測されにくいパスワードを設定すること、複数のサービスに同じパスワードを使い回さないことはアカウント管理の基本です。このほかにも、アカウント管理における重要なポイントを5つ紹介します。インターネット上のサービスを利用するユーザは不正アクセスに遭わないよう、適切なアカウント管理を行ってください。第三者に推測されにくいパスワードを設定すること、複数のサービスに同じパスワードを使い回さないことはアカウント管理の基本です。このほかにも、アカウント管理における重要なポイントを5つ紹介します。
ポイント① パスワード管理ツールを利用する
パスワード管理ツールを使用すれば、利用中のサービスとID/パスワードの組み合わせを一括管理できます。使用できる文字種を指定すれば、それらをランダムに組み合わせて強固なパスワードを自動で作成してくれるものもあります。
ポイント② サービス認証用のメールアドレスを取得する
Webサービスを利用する場合、メールアドレスをIDとして登録しなくてはならないケースがあります。あなたは、仕事やプライベートで使用したり、ブログやSNSのプロフィールに載せたりしているメールアドレスを、サービスの本人認証に使用していませんか。悪意のある第三者にそのメールアドレスを取得されると危険です。サービスの本人認証だけに使用するメールアドレスを新たに作成し、第三者に知られないよう管理しておきましょう。
ポイント③ 面識のない人とSNSで友達にならない
Facebookでは偽アカウントで友達申請し、情報の収集やアカウントの乗っ取りを狙う犯罪者がいます。このため、面識のない人物と安易につながってしまうとトラブルの原因になります。過去に不審な人物からのリクエストを承認した覚えのある方は友達リストを見直してください。アカウントの設定で「セキュリティ」をクリックし、「信頼できる連絡先」に親しい友人を登録しておけば、犯罪者が偽アカウントを利用して、攻撃対象者のパスワード再発行を試みようとしても、あらかじめ「信頼出来る連絡先」に登録された友人のアカウントでしか行えないため、アカウントを乗っ取られるリスクを抑えられます。
ポイント④ アクセス履歴を確認する
WebメールやSNSでは定期的にメッセージの送信履歴をチェックし、不正アクセスに遭っていないことを確認しましょう。たとえば、Gmailでは受信トレイの最下段の右下にある「アカウントアクティビティの詳細」をクリックすれば、いつ、どの端末で、どの地域からログインしたかを表示してくれます。Facebookでは、アカウントにログインして設定を開き、左側の「セキュリティ」から「進行中のセッション」へ進んでください。心当たりのない端末や地域からのアクセスがあれば、すぐにパスワードを変更してください。
ポイント⑤ 2段階認証を適用する
2段階認証はサービスへのログイン時に従来のID/パスワードの入力に加え、認証コードの入力を追加で求めることにより、本人認証の精度を高める仕組みです。事前登録した携帯電話に送られる認証コードは一定時間ごとに変化するため、悪意のある第三者が認証を通るのはかなり難しくなります。
Webサービスの利用にあたっては、これらのポイントを実践してください。第三者にアカウントを乗っ取られて被害に遭うリスクを最小限にとどめられます。この機会に一度、アカウント管理について見直してみましょう。
トレンドマイクロ社より記事提供