ドコモの「ドコモオンラインショップ」では、不正アクセスされて、知らないうちに自分のアカウントでiPhone Xを買われ、代金が請求される被害が約1000件発生した事件がありました。
インターネットにはパスワードを見破る攻撃が様々あり、見破られることで、自分のID(アカウント)が不正利用されます。
また、ネット・サービスから、パスワードなどの個人情報流出が、相変わらず発生しています。原因は、企業側のコンピュータの管理の甘さや、Webサイトの作り方に問題があります。
このようにパスワードを見破られたり、パスワードが流出したりすると、不正に製品が購入されたり、パスワードが変更されたりと、様々な不正が可能になります。
これからは、パスワードに加え、セキュリティコードによる認証が必要な「2段階認証」の活用が大事です。なお、Webサービスによっては、「ワンタイムパスワード」と呼ばれることもあります。
私の場合、ネットショッピング、インターネットバンキング、メール関係などの重要なWebサービスは全て2段階認証にしています。
2段階認証、簡単に言えば、Webサービスのログイン時に、パスワードに加えて、スマホに送られる、セキュリティコードの入力が必要になるログイン方法です。
このセキュリティコードは、登録したスマホ(自分が持っているスマホ)に、SMS(シートメール)または専用の認証アプリで送られてきます。そのため、事前に自分のスマホの電話番号を登録する必要があります。
2段階認証を使うことで、万が一、パスワードが漏れても、他のサービスと同じパスワードを使っていても、大丈夫です。
なお、SMSで受け取った方が簡単な場合がありますので、スマホでSMSが受信可能になっているか事前に確認下さい。
《補足》SMS受信可能設定方法-ドコモの機種「SH-04F」の場合
①ドコモメールの初期画面で右下の[その他]をタップ
②メニューから[メール設定]をタップ
③メール設定のメニューから[ドコモメールサイト設定]をタップ
④ブラウザを開き、ドコモのお客さまサポートで、dアカウントのID、パスワードを入力
⑤各種メニューから[SMS拒否設定]をタップ
⑥拒否・受信設定で[全て受信する]をタップ
■■□―――――――――――――――――――――――――□■■
どうしてパスワードが見破られるのか? パスワードを狙う攻撃とは
■■□―――――――――――――――――――――――――□■■
①ブルートフォース攻撃
攻撃者が総当たりで数字や文字の組み合わせを試して、不正にログインしようとする攻撃です。なお、パスワードを見破る攻撃で、桁数の短いパスワード、例えば
”英字4桁のパスワードは約3秒”
”英字6桁のパスワードでも約37分”
で、簡単に見破られるそうです。これは、2008年当時の数値なので今はもっと短い時間で見破られます。
②辞書攻撃
辞書にある単語や、パスワードによく使われる文字列の集まりを試して、不正にログインしようとする攻撃です。過去に流出したパスワードは攻撃者の間で広く知られ活用されます。
③個人情報を使った攻撃
個人の属性からパスワードを推測する方法で、パスワードとして、誕生日やペットの名前を試してみるというもの。有名人がメールやSNSを盗み見られたりする被害に遭うのはこのパターン。
④パスワードリスト攻撃(不正に入手したパスワードを使って不正アクセス)
Webサイトから漏洩した情報を使って、別のWebサイトに不正ログインしようとする攻撃。どんなに複雑なパスワードを設定しても、パスワードを使い回していると、1回の漏洩ですべてのWebサイトが不正ログインされてしまいます。
⑤ウイルスやフィッシング詐欺によるパスワード漏洩
インターネットバンキングの不正送金の多くでは、ウイルスが悪用されています。また、フィッシング詐欺も多発しており、犯人は、金融機関をかたる偽メールを送信し、ネットバンキングのWebサイトに見せかけた偽サイトにユーザーを誘導し、パスワードなどを入力させて盗みます。
⑥サイバー攻撃によるWebサイトからのパスワードなどの情報流出
Webサービスのサイトがセキュリティ面で問題があると、攻撃者のサイバー攻撃により、いともたやすく会員情報が流出します。
■■□――――――――――――――――――――――――――――□■■
【2段階認証】とは、Webサービスを安全に活用する最強の方法
■■□――――――――――――――――――――――――――――□■■
Webサービスの2段階認証は、①パスワードに加えて、②セキュリティコードの入力が必要になるログイン方法です。
*セキュリティコードは確認コードと呼ばれることもあります。
2段階認証時に使用する“セキュリティコード”は、ID・パスワードを入力後、登録したスマホに送られてきます。
なお、スマホに送られる方法は以下の2つの方法です。①のSMSの方が手順は簡単かもしれません。
①SMS(ショートメール)または指定のメールアドレスに送られてくる
②認証専用のアプリをインストールして“セキュリティコード”を確認する
なお、以上のことから、2段階認証時には、スマホの電話番号の登録が必要になります。
このように、登録した自分のスマホでないと「セキュリティコード」が発行できないため、他人が不正利用する危険性が極端に少なくなります。
また、この「セキュリティコード」は時間毎に変化するので、見破られることは基本的にありません。
万が一、他のサービスと同じパスワードを使っていても、パスワードが漏れても大丈夫な、Webサービスを安全に活用する最強の方法です。
「2段階認証」、とても面倒なようですが、画面操作により、次回以降セキュリティコードの入力を省略することができます。
重要なWebサービスの”2段階認証”は以下で紹介されています。2段階認証を実施する前に、まずは一読してから実施下さい。
Amazon 2段階認証
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=202073820
Yahoo! Japan 2段階認証 *Yahoo!の場合、ワンタイムパスワード(OTP)
https://id.yahoo.co.jp/security/otp.html
Google 2段階認証
https://support.google.com/accounts/answer/185839?co=GENIE.Platform%3DDesktop&hl=ja
Dropbox 2段階認証
https://www.dropbox.com/ja/help/security/enable-two-step-verification
Microsoft 2段階認証
https://support.microsoft.com/ja-jp/help/12408/microsoft-account-how-to-use-two-step-verification
ドコモ 2段階認証
https://id.smt.docomo.ne.jp/src/utility/twostepauth_flow.html
以下は、Amazon、Yahoo! Japanの2段階認証方法です。
■■□―――――――――――――――――――□■■
2段階認証の注意すべき点は
■■□―――――――――――――――――――□■■
①2段階認証のセキュリティコードは、自分のスマホにSMS(ショートメール)または認証アプリで発行されます。そのため、事前に、SMSの受信を有効にするか、認証アプリをインストールする必要があります。
②パソコンやスマホで、端末毎・アプリ毎に、パスワードに加え「セキュリティコード」を入力しなければならないので不便になります。
ただし、「セキュリティコード」を入力する際に、次回からは[入力を不要にする]のような項目のチェックボックスを”オン”にして入力すると、次回からは入力が不要になります。
③2段階認証を活用しても、パソコンやスマホを紛失した場合、簡単に悪用されるので、パソコン立ち上げ時のログインパスワード入力や、スマホでの画面ロックは必ず活用ください。
④2段階認証にして不便な場合は、簡単な操作で2段階認証を無効にできます。ただし、この場合は、パスワードを安全なものにしてください。
2段階認証を使わない場合、パスワードは、少なくとも12文字以上で、英文字の小文字・大文字、数字を混合させ、定期的に更新します。
■■□―――――――――――――――――――□■■
重要なWebサービスの”2段階認証”実施手順
■■□―――――――――――――――――――□■■
以下に、私が実施した重要なWebサービスの”2段階認証の手順”を紹介しますので、参考にして下さい。
Amazonの”2段階認証”活用方法
http://lifesecurityup.blogspot.com/2017/06/amazon2.html
Yahoo! Japanの”2段階認証”活用方法(ワンタイムパスワード)
http://lifesecurityup.blogspot.com/2017/05/yahoo-japanid.html
Googleの”2段階認証”活用方法
http://lifesecurityup.blogspot.com/2014/09/500google2.html
Dropboxの”2段階認証”活用方法
http://lifesecurityup.blogspot.com/2014/10/dropboxid.html
Microsoftの”2段階認証”活用方法
http://lifesecurityup.blogspot.jp/2015/08/microsoft2.html
ドコモの”2段階認証”活用方法
https://lifesecurityup.blogspot.com/2018/11/2.html
