2024年版、アカウントの正しい守り方を考える：半径300メートルのIT

米国証券取引委員会のXアカウントが乗っ取り被害に遭いました。こうしたアカウント窃取はXだけでなく全てのサービスで起こり得るでしょう。これを防ぐために私たちができることを考えます。

[宮田健，ITmedia]

　先日、「X」（旧Twitter）を巡り少々気になる事件が発生していました。米国証券取引委員会（以下、SEC）のXアカウントが不正アクセスに遭い、仮想通貨に関する偽の情報が投稿される事件が起きました。本稿執筆時点で、偽の投稿は削除され、被害に関する情報もポストされています。

　後にXのSafetyアカウントで、この侵害はXのシステムを狙った攻撃ではなく、SECのXアカウントにひも付く電話番号を盗んだサイバー攻撃者によるものであり、SECのアカウントには二要素認証が設定されていなかったことも明らかになりました。運営側が利用者の設定をここまで明らかにしていいかどうかはひとまず置いておくとして、いまだにこのような被害が発生するというのはなかなか悩ましいところではあります。

完璧ではなかったとしても、二要素認証は設定しよう

　まず、皆さんにはしっかりと「二要素認証」をオンに設定していただきたいというのがひとまずの結論です。SECほどの重要アカウントを運営している人はなかなかいないとは思いますが、今やSNSの投稿は企業やブランド、そして個人にとっても取り扱いに注意しなくてはならず、投稿の真偽にかかわらずたった一言のポストが大炎上につながる時代です。

　そのため不正アクセスの可能性を少しでも減らすために、二要素認証はしっかりと設定しておくことが重要です。これはXだけでなく二要素認証を設定可能な全てのサービスにいえることです。

　しかし今回の報告をよく読むと、仮に二要素認証が設定されていた場合でも、登録された電話番号が盗まれてしまったらほとんど致命的です。パスワードリセットのためには、別途設定された電子メールアドレスなどが使われます。Xの場合、パスワードリセットにおいてはまず「電子メールアドレス、電話番号、またはユーザー名」を指定する必要があります。そのため電話番号が盗まれていた場合、それだけでアカウントが奪われてしまう可能性があります。

Xのパスワードリセット画面（Xのアカウントページ）

　この電話番号を奪う攻撃は「SIMスワップ」と呼ばれるもので、日本でも幾つかの事例が明らかになり、問題視されています。幸いなことに、警察庁が発表している「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、対策が功を奏してSIMスワップの被害件数は激減しているようです。国によっては大変な脅威ではありますが、日本においては二要素認証をしっかりしておけば、各種アカウントが奪われるリスクは低くなるはずです。

令和5年上半期にはSIMスワップに関連する不正送金事案は激減している（出典：令和5年上半期におけるサイバー空間をめぐる脅威の情勢等についてから抜粋）

　ただし電話番号を奪われなかったとしても、二要素認証を回避してアカウントを奪う手段は幾つもあります。フィッシングにおいては、偽のWebサイトから二要素認証のコードを正規のアカウントに中継する中間者攻撃が当たり前のように実行されています。この他、二要素認証を回避して認証後のCookieを奪う手法も登場しています。二要素認証を設定することでセキュリティは確実に向上しますが、“完璧ではない”ということだけは頭に入れておく必要があります。

　それでも個人でできる対策として、二要素認証の設定は非常に強力です。筆者が利用しているパスワード管理ツールの「1Password」には、二要素認証が可能であるにもかかわらず設定されていないアカウントの一覧を表示できる機能があります。こうしたツールを使いつつ、安全を目指してみてはいかがでしょうか。

筆者の1Passwordの「Watchtower」。ここでパスワードに関する統計数値を確認できる。あまり褒められた数字ではなく恐縮ですが……（出典：筆者の1Passwordの「Watchtower」画面）

電話番号は奪われなくても……

　日本ではSIMスワップ対策が現状うまくいっていることで、アカウントを奪われるリスクは他国に比べれば低いといえます。しかし、それも“その他のリスクがなければ”という話であることに注意してください。もう一度Xパスワードリセット画面を見ると、電話番号の他にも奪われやすい情報があることが分かるでしょう。

　それは「電子メールアドレス」です。

　電子メールアドレスはパスワードをリセットする上で最も重要であり、かつ最も脆弱（ぜいじゃく）なポイントでもあります。電子メールアドレスとパスワードが奪われてしまえば、ほぼ全てのセキュリティ対策が無駄になるでしょう。真っ先に二要素認証を、可能であればパスキーも設定しましょう。

　多くの利用者がいることから、万が一他のサービスでパスワードが漏れてしまった場合、サイバー攻撃者は真っ先に「Gmail」でログインを試行する可能性が高いでしょう。これを守るためには、Googleのアカウントにおけるセキュリティ診断を実施するのがお勧めです。基本的にこの画面に表示される全てが緑色のチェックマークとなることを目指し、正しい設定を実施しましょう。

「Googleアカウント」の「セキュリティ診断」（出典：筆者のGoogleアカウント設定画面）

　Googleアカウントについては、ログイン時にスマートフォンの通知を実施することでパスワードレスの仕組みを利用できます。今ではパスキーも使えますので、できる限りこれらの機能を活用してみてください。また、電子メールについては「Yahoo!メール」や「Outlook.com」、携帯電話事業者の電子メールなど複数を利用している方も多いと思います。できれば、これらの電子メールに対してはそれぞれ異なるパスワードでしっかりと運用するように、心掛けてください。

フィッシング対策も実行しよう

　アカウントを奪うサイバー攻撃は今後も執拗（しつよう）に実行されるでしょう。これを防ぐには携帯電話番号や電子メールアドレスを守ることが重要です。二要素認証やパスキーを活用すれば、多くの攻撃から身を守れるはずです。

　ただし最も大きなリスクは、偽の入力フォームに“自分自身が”パスワードを入力することかもしれません。それを防ぐためには、正しいドメインのときにだけID／パスワードが自動入力されるようなパスワード管理ツールの併用をお勧めしたいです。2024年こそ、パスワード管理ツールの普及が進むことを期待しつつ、自分のアカウントをしっかり守っていきましょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。