2024年版、アカウントの正しい守り方を考える:半径300メートルのIT
米国証券取引委員会のXアカウントが乗っ取り被害に遭いました。こうしたアカウント窃取はXだけでなく全てのサービスで起こり得るでしょう。これを防ぐために私たちができることを考えます。
先日、「X」(旧Twitter)を巡り少々気になる事件が発生していました。米国証券取引委員会(以下、SEC)のXアカウントが不正アクセスに遭い、仮想通貨に関する偽の情報が投稿される事件が起きました。本稿執筆時点で、偽の投稿は削除され、被害に関する情報もポストされています。
後にXのSafetyアカウントで、この侵害はXのシステムを狙った攻撃ではなく、SECのXアカウントにひも付く電話番号を盗んだサイバー攻撃者によるものであり、SECのアカウントには二要素認証が設定されていなかったことも明らかになりました。運営側が利用者の設定をここまで明らかにしていいかどうかはひとまず置いておくとして、いまだにこのような被害が発生するというのはなかなか悩ましいところではあります。
完璧ではなかったとしても、二要素認証は設定しよう
まず、皆さんにはしっかりと「二要素認証」をオンに設定していただきたいというのがひとまずの結論です。SECほどの重要アカウントを運営している人はなかなかいないとは思いますが、今やSNSの投稿は企業やブランド、そして個人にとっても取り扱いに注意しなくてはならず、投稿の真偽にかかわらずたった一言のポストが大炎上につながる時代です。
そのため不正アクセスの可能性を少しでも減らすために、二要素認証はしっかりと設定しておくことが重要です。これはXだけでなく二要素認証を設定可能な全てのサービスにいえることです。
しかし今回の報告をよく読むと、仮に二要素認証が設定されていた場合でも、登録された電話番号が盗まれてしまったらほとんど致命的です。パスワードリセットのためには、別途設定された電子メールアドレスなどが使われます。Xの場合、パスワードリセットにおいてはまず「電子メールアドレス、電話番号、またはユーザー名」を指定する必要があります。そのため電話番号が盗まれていた場合、それだけでアカウントが奪われてしまう可能性があります。
この電話番号を奪う攻撃は「SIMスワップ」と呼ばれるもので、日本でも幾つかの事例が明らかになり、問題視されています。幸いなことに、警察庁が発表している「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、対策が功を奏してSIMスワップの被害件数は激減しているようです。国によっては大変な脅威ではありますが、日本においては二要素認証をしっかりしておけば、各種アカウントが奪われるリスクは低くなるはずです。
ただし電話番号を奪われなかったとしても、二要素認証を回避してアカウントを奪う手段は幾つもあります。フィッシングにおいては、偽のWebサイトから二要素認証のコードを正規のアカウントに中継する中間者攻撃が当たり前のように実行されています。この他、二要素認証を回避して認証後のCookieを奪う手法も登場しています。二要素認証を設定することでセキュリティは確実に向上しますが、“完璧ではない”ということだけは頭に入れておく必要があります。
それでも個人でできる対策として、二要素認証の設定は非常に強力です。筆者が利用しているパスワード管理ツールの「1Password」には、二要素認証が可能であるにもかかわらず設定されていないアカウントの一覧を表示できる機能があります。こうしたツールを使いつつ、安全を目指してみてはいかがでしょうか。
筆者の1Passwordの「Watchtower」。ここでパスワードに関する統計数値を確認できる。あまり褒められた数字ではなく恐縮ですが……(出典:筆者の1Passwordの「Watchtower」画面)
電話番号は奪われなくても……
日本ではSIMスワップ対策が現状うまくいっていることで、アカウントを奪われるリスクは他国に比べれば低いといえます。しかし、それも“その他のリスクがなければ”という話であることに注意してください。もう一度Xパスワードリセット画面を見ると、電話番号の他にも奪われやすい情報があることが分かるでしょう。
それは「電子メールアドレス」です。
電子メールアドレスはパスワードをリセットする上で最も重要であり、かつ最も脆弱(ぜいじゃく)なポイントでもあります。電子メールアドレスとパスワードが奪われてしまえば、ほぼ全てのセキュリティ対策が無駄になるでしょう。真っ先に二要素認証を、可能であればパスキーも設定しましょう。
多くの利用者がいることから、万が一他のサービスでパスワードが漏れてしまった場合、サイバー攻撃者は真っ先に「Gmail」でログインを試行する可能性が高いでしょう。これを守るためには、Googleのアカウントにおけるセキュリティ診断を実施するのがお勧めです。基本的にこの画面に表示される全てが緑色のチェックマークとなることを目指し、正しい設定を実施しましょう。
Googleアカウントについては、ログイン時にスマートフォンの通知を実施することでパスワードレスの仕組みを利用できます。今ではパスキーも使えますので、できる限りこれらの機能を活用してみてください。また、電子メールについては「Yahoo!メール」や「Outlook.com」、携帯電話事業者の電子メールなど複数を利用している方も多いと思います。できれば、これらの電子メールに対してはそれぞれ異なるパスワードでしっかりと運用するように、心掛けてください。
フィッシング対策も実行しよう
アカウントを奪うサイバー攻撃は今後も執拗(しつよう)に実行されるでしょう。これを防ぐには携帯電話番号や電子メールアドレスを守ることが重要です。二要素認証やパスキーを活用すれば、多くの攻撃から身を守れるはずです。
ただし最も大きなリスクは、偽の入力フォームに“自分自身が”パスワードを入力することかもしれません。それを防ぐためには、正しいドメインのときにだけID/パスワードが自動入力されるようなパスワード管理ツールの併用をお勧めしたいです。2024年こそ、パスワード管理ツールの普及が進むことを期待しつつ、自分のアカウントをしっかり守っていきましょう。
関連記事
- 日本でも初摘発された“SIMスワップ” 確実な防御策がない中でも“できること”
このコラムでも以前紹介していたサイバー攻撃手法“SIMスワップ”が日本で初めて摘発されました。これから本格化する可能性があるこの犯罪を改めて学び直しつつ、有効な防御策を考えていきましょう。 - Twitterが二要素認証の仕様を変更 これって「アリ」か「ナシ」か?
Twitterは二要素認証の仕様を変更し、SMSを利用した二要素認証を有料ユーザーの「Twitter Blue」だけが利用可能にする旨をアナウンスしました。この変更の「アリ」な部分と「ナシ」な部分を考えてみましょう。 - マルウェアを使わなくなった攻撃者たち 代わりに用いられる手法とは?
Huntressの調査によると、中堅・中小企業を標的とするサイバー攻撃者は従来のマルウェアを使った攻撃を実行する傾向は低くなっているという。 - サポート詐欺を“疑似体験”してみよう IPAが作ったWebサイトの再現度が高すぎる
最近非常に手口が巧妙化している“サポート詐欺”。これを疑似体験できるWebサイトをIPAが公開しました。その手口を知ることでこうしたフィッシングに冷静に対処していきましょう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.