2014年10月16日木曜日

「Dropbox」の不正アクセス防止対策とは 二段階認証の活用とデータの暗号化対策

DropboxのID・パスワードが流出したという事件が発生。今回の事件、Dropbox以外のサービスから盗まれたものであるとのこと。最近は、他社サービスから入手したID、パスワードを利用した不正アクセスが増えており、Dropboxへの不正アクセスが実行される危険性があります。

同じID、パスワードを複数サイトで利用していると、不正に入手された情報で不正アクセスされ危険です。この機会に、重要なサービス、Dropbox、Googleなどは、パスワードを定期的に変更するか、現段階で、最も安全な対応である”二段階認証”を設定する必要があります。


私は、Googleはすでに”二段階認証”をしていましたが、この機会に、Dropboxも”二段階認証”に設定しました。

もし、二段階認証は苦手で言う人は、この機会に、使い回しのID・パスワードをやめて、少なくとも重要なサービスのパスワードは、できるだけ見破られにくいパスワードにして下さい。

なお、パスワードの基本は次です。

・英字の小文字・大文字、数字、記号を混合させ
・8桁以上の長いパスワードを使い
・パスワードを定期的に変更する

■重要なデータは暗号化して保管しましょう!

また、重要なデータを保管する場合は、万が一、不正アクセスなどでの情報流出を考え、ソフトにパスワード機能があれば、その機能を活用したり、データを暗号化して利用することが大事です。

ここでは、私が愛用している、「暗号化圧縮形式Zip」で暗号化する方法と、暗号化に役立つ圧縮・解凍フリーソフト「7-Zip Portable」を紹介します。


■アカウントの不正アクセスがないか確認しましょう!

Dropboxのアクセス状況を確認して、不正アクセスがないかを、時々確認することが大事です。不正アクセスがあったら、すぐにパスワードの変更をしましょう。

①WebブラウザでDropboxにログイン
②右上のユーザーネームをクリックし、「設定」をクリック
③「セキュリティ」タブをクリック
④セッションを確認
  Dropboxにログインしているブラウザ一覧です。
  使っていないブラウザがあったら要注意、×ボタンでリンク解除。
⑤デバイスを確認
  Dropboxと連動している端末(PC、スマートフォン、タブレットなど)一覧です。   使っていない端末名があったら要注意。×ボタンでリンク解除。
⑤リンク済みのアプリを確認
  Dropboxのアクセスを許可された外部アプリです。
  見慣れないアプリは要注意です。×ボタンでリンク解除。




■ Dropboxの2段階認証


Dropboxの2段階認証を有効にすると、Dropboxへのログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。

Dropboxの2段階認証は、Webサイトで設定を開き、セキュリティタブで、「2 段階認証」のステータスを有効にして設定を進めます。


なお、Dropboxの2段階認証では、コードの受け取り方法に、

 ①携帯端末にテキストメッセージを送る方法
 ②モバイルアプリで2次元バーコードで読み取る方法

の二つがありますが、私が10月に試した段階では、②の方法が簡単でした。

私は、②の方法で実行し、アプリ「Google Authenticator」をインストール後、このアプリを使って、コードをバーコードでスキャンし読み取り、入力しました。

なお、2段階認証が完了時に、「 2 段階認証を無効にすることができる、緊急用バックアップ コード」が使用されるので、これを必ず記録して下さい。

最終手段として、緊急バックアップ コードと自分のパスワードを使用して 2 段階認証を無効にすることができます。

 緊急バックアップ コードを使用してアカウントを復元する

 ①Dropbox ウェブサイトにログインします (メール アドレスとパスワードを使用)。
 ②セキュリティ コードの入力を求められた場合、[ スマートフォンを紛失] を
  クリックします。
 ③緊急バックアップ コードを入力して 2 段階認証を無効にします。


以下に、Dropboxの2段階認証の詳しい方法が掲載されていますので、参考にしてください。これはスマホiPhoneの例ですが、Androidでも同じような方法です。

 Dropboxに重要データを保存している人は今すぐ2段階認証を設定しましょう!
  - iPhone女史
 http://www.iphone-girl.jp/2014/07/362804/



■ 重要なデータを保管する場合は暗号化して保管


暗号化する方法として、私が一番気に入っているのが、下記の方法です。

 ”一般的に使われている「暗号化圧縮形式Zip」で暗号化”
 
暗号化圧縮形式Zipは、一般的な圧縮形式であり、このデータ形式をサポートする様々なソフトがあります。

もし、特殊な暗号化ソフトを利用した場合、このソフトが利用できなくなると、復号化してもとに戻せなくなりますので、要注意です。

実は、以前、便利な暗号化ソフトを利用ししていましたが、この時、パソコン環境を変更した際、このソフトが使えなくなり、データを元に戻すのに(復元するのに)、苦労したことがあります。そのときの反省も踏まえ、今は、利用ソフトに依存しない、「暗号化圧縮形式Zip」で暗号しています。



■ お薦めの暗号化対応 圧縮・解凍フリーソフト「7-Zip Portable」
■  (海外:日本語対応)

「7-Zip Portable」は、USBでも使えるポータブルタイプのフリーの圧縮・解凍ソフト。このソフトは、高圧縮率を実現し、ポータブルタイプの圧縮・解凍ソフトでは、代表的な人気のあるソフトです。専用の形式「7zフォーマット」に対応するほか、各種の圧縮・解凍形式をサポートしています。

強力な「256AES 暗号化機能」、自己解凍形式、ファイルの分割・結合、テストの実施、お気に入り機能などをサポートしています。

7-Zipについては、下記のホームページを参照下さい。

 7-Zipのホームページ(日本語)
 http://sevenzip.sourceforge.jp/

7-Zipは”2画面分割で使うと操作が便利になります、また、圧縮形式ZIPにパスワードを付ける方法は下記を参照下さい。

 ZIPにパスワードを付ける方法
 http://sevenzip.sourceforge.jp/howto/zip-password.html




■ DropboxユーザーのID・パスワード700万件が流出?


 DropboxユーザーのID・パスワード700万件が流出? Dropboxは自社からの流出を否定
  - ITmedia ニュース
 http://www.itmedia.co.jp/news/articles/1410/14/news097.html

この、ITmedia ニュースによると、数百件のDropboxのIDとパスワードだという情報がネット上に掲載され、掲載した人物は約700万件のアカウント情報を入手したと述べ、今後掲載する可能性をほのめかしているそうです。

 Dropbox、ハッキングされたことを否定--パスワード700万件流出の疑いに対して見解
  - CNET Japan
 http://japan.cnet.com/news/service/35055138/

なお、CNET Japanニュースによると、Dropboxは、ブログ上に次のような声明を出し、Dropboxのパスワードが「無関係のサービス」から盗まれたものであることを明言したそうです。

『ユーザー名とパスワードは、Dropboxではなく無関係のサービスから盗まれたものである。(中略)われわれは、疑わしいログイン活動を検出するための対策を講じており、それが生じた場合には自動的にパスワードをリセットする。

 このような攻撃は、われわれが複数のサービスでパスワードを再利用しないようにとユーザーに強く推奨する理由の1つである。セキュリティをさらに強化するために、われわれは常に、アカウントに対する2段階認証を有効化することを推奨している。 』