2015年9月17日木曜日

情報流出が発生しても慌てない 不正アクセスを防ぐ自己防衛策とは

情報流出が後を絶たない。またしても、ベルネージュダイレクトが運営するギフト通販サイトで顧客情報2万件以上が流出する事件が発生しました。

流出した情報には、氏名や住所、電話番号、メールアドレス、パスワードが入っていました。またそのうち1万3713件に関しては、クレジットカードの名義や番号、有効期限、住所なども登録されていたとのこと。


流出したメールアドレス、パスワード、他のサービスでも同じものを使っていたら、それを利用し、不正アクセスされる危険性は大です。

 2015/09/15 不正アクセスによる個人情報流出の可能性についてのお知らせとお詫び
  |ベルネージュダイレクト(旧:主婦の友ダイレクト)
 http://www.bn-direct.jp/shop/info_sd/illegal-access-150915.aspx


これだけ毎年、大きな情報流出事件が発生することを考えると、発想を変え、「情報流出はいつ起きても不思議ではなく、情報流出が発生しても慌てない」ような考えで、対策を実施する必要があります。なお、対策としては、以下が考えられます。


《情報流出が発生しても慌てない 不正アクセスを防ぐ自己防衛策》

対策①:同じパスワードを複数サービスで使わない

対策②:パスワードは定期的に変更する

対策③:バンキング、ショッピングサイトには、他とは違うID・パスワードを使う

対策④:重要なサービス(Google、Microsoft、DropBoxなど)の2段階認証を使う

対策⑤:口座やクレジットカードの明細を定期的にチェックする


対策①、②は基本的なことなので、ここでは説明を省略します。対策③、④は後で、詳しく説明します。

対策⑤は、最後の確認手段です。

どんなに注意しても、不正に利用されている場合があります。クレジット・カードなどの明細は、おかしい金額が書かれていないかチェックして、不正な請求がないか確認してください。



■お粗末な企業の情報流出対策

なお、総務省が企業におけるID・パスワードの管理・運用実態について調査を行った結果によると3割の企業が不正ログイン被害の経験があるそうです。驚くべき数字です。

但し、パスワード保管時の対策で約3割が暗号化しておらず、不正ログインを見分ける同一IPからのログイン試行回数制限を実施しているのは約4割に留まるなど、ID・パスワード管理はお粗末です。この点からいっても自己防衛策は必要ですね。

 総務省|ウェブサービスに関するID・パスワードの管理・運用実態調査結果 平成27年7月30日
 http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000099.html



■ 対策③:バンキング、ショッピングサイトには、他とは違うID・パスワードを使う


通常、IDにはメールアドレスが使われます。様々なインターネット・サービスを使っていると、ついつい、同じメールアドレスを使ってしまいがちです。

もし、同じメールアドレスを複数のサービスで使っていると不正アクセスの危険性が高まります。

そこで、私は、重要でないサービスについては、”Webメールのメールエイリアス(別名)”を使うことにしています。


バンキング、ショッピングサイトには、これ以外のメールアドレスを使うと、情報流出したIDをもとに不正アクセスされる危険性が少なくなります。

しかし、最も大事なのは、パスワードです。パスワードの基本は以下と言われています。

 「英字の小文字・大文字、数字、記号を混合させ、8桁以上のパスワードを使う」


なお、オンラインバンキング、ショッピングサイトは、不正アクセスをされると大きな影響がでるので、特別なパスワードにする必要があります。私は、オンラインバンキング、Amazonなどについては以下にしています。

  ①他とは違う独自のパスワードにする

  ②必ず英字の小文字・大文字、数字、記号を混合させ、12桁以上にする
    *英字の大文字も必ず使う
    *使える記号が限られる場合があるので注意する

  ③辞書に載っている単語は使わない



参考:「 今一度、パスワードを点検しましょう! 」
    ― あなたのパスワード、破られない自信がありますか? ―
http://www.ipa.go.jp/security/txt/2008/10outline.html#5



■ 対策④:重要なサービス(Google、Microsoft、DropBoxなど)の2段階認証を使う


2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。
 

次のブログに、Google、Dropbox、Microsoftの”2段階認証”の方法をまとめていますので、参考にして下さい。

Google、Microsoftのサービスは、メール、オンラインストレージ、カレンダーなど複数のサービスを同じID・パスワードを利用するので、”2段階認証”は必須ですね。


 Googleの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/09/500google2.html

 Dropboxの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/10/dropboxid.html

 Microsoftの”2段階認証”について
 http://lifesecurityup.blogspot.jp/2015/08/microsoft2.html



正直、この2段階認証、私が実施したのは今年の始めでした。以前は面倒だと思っていましたが、しばらくすると慣れました。