インターネットの発達によりオンラインバンキングや公文書の提出など以前はオフラインでしかできなかったことが、携帯一つでできるようになってきました。オンラインでできることが増えることで、ユーザの利便性が向上したことは間違いありませんが、登録した個人情報を悪用される事件が増えていることも事実です。家の財産を守るために戸締まりをするように、オンラインアカウントについても同様の扱いが必要なのではないでしょうか。
この記事では、オンラインアカウントを保護するために誰にでもすぐにできる基本を解説します。
1.強いパスワードを使う
パソコンの機能が飛躍的に向上しているので、弱いパスワードは瞬時に破られてしまいます。最初のステップとして強いパスワードを作りましょう。
パスワードの作り方は「覚えやすく安全なパスワードの作り方」で解説していますので、参照ください。
2.2段階認証を使う
どんなにランダムで強いパスワード破られる可能性があります。最初のパスワードが破られた場合でも、2段階認証を設定していれば安心です。
2段階認証については「2段階認証でセキュリティ強化」で解説していますので、参照ください。
3.ブラウザを最新の状態に保つ
最近のブラウザは下記5番に解説しているフィッシングからユーザを守る機能を含む多くのセキュリティ機能が搭載されています。せっかくのセキュリティ機能も最新の状態にしていなければ、新しい攻撃に対しては無力です。パソコンでは、Google ChromeやFirefoxなど再起動の度に自動でアップデートするブラウザがおすすめです。スマートフォンでは、自動アップデートを設定しておくと安心です。
*Macのノート型パソコンのユーザで、シャットダウンせずに蓋を閉じる習慣のある方は、ブラウザが長い間再起動されない可能性があります。単純にアプリケーションウィンドウを閉じるのではなく、定期的にアプリケーションを終了(コマンド+Q)させてください。
4.ウェブアドレスが必ずhttpsであることを確認する。
パスワードや個人情報を入力しようとしているサイトのウェブアドレス(URL)が、「https://」で始まっていることを確認しましょう。
確認方法
- Safari、Google Chrome、Firefox、Edge => アドレスバーの左隣に鍵マークがついていることを確認
- IE => アドレスバーのURLを確認
httpにSがついていないと、同じネットワーク上にいる他のすべての人が、あなたの入力した情報を見ることが可能です。ユーザ名、パスワードはもちろんのこと、どのサイトからどのリンクをたどったかなども筒抜けです。httpリクエストの基本の理解と少しのGoogle検索だけで簡単にできてしまうので、中学生ぐらいの子供でもできます。特に不特定多数いの人が使う公共のWiFiを使うときは注意が必要です。
httpとhttpsの違いとより具体的なリスクについては、こちらで解説していますので、参照ください。
5.メールのリンクをクリックしてログインしない
「ハッキングによりユーザ情報が流出した可能性があるので、パスワードを変更してください。」などと書かれたメールを受け取ることがあるかもしれません。普段からパスワードの管理をしっかりしているような方でも、焦ってリンクからパスワードを変更しようとしてしまうかもしれません。しかし、これはよくあるフィッシングというテクニックで使われる方法です。
例えば、以下のようなリンクがメールに張られていたとします。
hack cafeのホームページアドレスが記載されていますが、実際のリンク先は、「https://www.hack-cafe.net/dummy」です。このように表示されたURLと実際のリンク先は必ずしも一致するとは限りません。銀行のURLのように見せかけて、別のサイトに誘導するのはとっても簡単なことです。そして、銀行のログイン画面を再現することも難しいことではありません。
では、このようなフィッシングを避けるにはどうすればよいのでしょうか。
以下の2つの方法が考えられます。
A.リンクを開く前にURLを確認する
Mac & Windows
リンクをクリックせずに、カーソルをリンクにのせてください。そうするとブラウザのウィンドウ左下に実際のリンク先のURLが表示されます。
iPhone
リンクをタップせずに長押ししてください。iOS 13の場合「リンクのプレビューを非表示」がオフになっているとプレビューが表示されます。オンにするとアドレスが表示されるのでURLが確認できます。iOS 12以前の場合、リンクのプレビュー機能がないのですぐにURLが確認可能です。
B.Googleの検索結果のページからアクセスする
もう一つの方法は、単純に使っているサービスをGoogle検索することです。メジャーなサイトであれば必ず検索結果の一番上に表示されます。Googleの検索結果をハッキングするのは技術的に難しいため、検索結果のリンクから安心してログイン画面にアクセスできます。
6.公共(他人)のパソコンでログインしない
最近のブラウザは、ユーザIDとパスワードを保存するオプションが付いています。「保存する」のチェックをかならず外して、「保存しない」を選択すれば良いですが、忘れることもあると思います。一度パスワードがブラウザに保存されると、公共のパソコンは設定に行けないので削除することが困難です。不用意なミスを防ぐためにも、自分のパソコン以外から重要なアカウントのログインをしないようにしてくください。
7.個人情報を必要以上に共有しない
覚えやすく安全なパスワードの作り方で解説している通り、大前提としてパスワードに誕生日などの個人情報を含めるのは避けるべきです。しかし、現実問題としてパスワードを忘れたときに使う「秘密の質問・セキュリティ質問」には個人情報を使うことも多いのではないでしょうか。
よくある質問は以下のようなものです。
- 昔好きだった○○(趣味、バンドなど)
- 子供のころの○○(学校、住所の一部)
- 最初の○○(ペット、車の名前など)
- 親族の名前(甥・姪・母の旧姓など)
このような情報は、他人には比較的わかりづらく、個人を直接特定するには弱い情報です。しかし、逆に言えば油断が生まれやすいため、比較的抵抗なく普段の会話やSNS、メールアドレスの一部などで気づかないうちに公開してしまうたぐいの情報とも言えます。
秘密の質問にも個人情報を使わないのが一番良いですが、忘れてしまうリスクが高まるため現実的ではないかもしれません。大部分の方には、普段から個人情報がもれないように意識することで、パスワードをリセットされるリスクを大幅に軽減可能です。特に匿名のSNSを利用するときにガードが下がりやすいので注意してください。
以上オンラインアカウントを保護するための基本的な方法を紹介しました。読者によってはどれも当たり前のように感じたかもしれませんが、意外と多くの人が基本的なルールを守れていないように思います。全部の項目を守るのが望ましいですが、1番から一つづつ順にクリアしていくことでも十分効果は得られると思います。この機会に是非ためしてください。
