パスワードの使い回しはNG!
今やインターネットは生活や仕事に欠かせない重要なインフラとなっています。年々新しいサービスが生まれどんどん便利になっています。しかし、その反面インターネットサービスの不正ログインによる金銭的被害が増加の一途をたどっています。攻撃者は不正ログインし、銀行口座から預金を不正に引き出す、クレジットカード限度額まで買い物をする、ポイントで買い物をする、オートチャージされた電子マネーで買い物をする、SNSを乗っ取り登録してある友人に電子マネーの購入を代わりに購入するよう依頼し電子マネーを詐取するという不正行為を行います。
不正ログインの手法の多くは「パスワードリスト攻撃」によるものです。パスワードリスト攻撃とは、インターネット上のサービスからセキュリティの脆弱性を悪用してID(メールアドレス)・パスワード・個人情報を盗み出したり、メールで実在するサービスを騙って偽のサイトに誘導しID・パスワードや個人情報等を入力させるフィッシングサイトを利用して盗み出します。そのようにして不正に入手したID・パスワードの「リスト」を用いてあらゆるサービスにログインを仕掛けます。他のサービスでも同じID・パスワードを設定する「使い回し」をしているアカウントは不正ログインされて乗っ取られてしまいます。場合によってはパスワードを変更されてしまいログイン出来なくなるケースもあります。
不正ログインを防ぐには、パスワードの使い回しをせずサービスごとに別々のパスワードを設定することです。また、二段階認証が用意されている場合は利用しましょう。
IPA独立行政法人 情報処理推進機構がパスワードの大切さを訴える為にこんなコンテンツを作っています。
https://www.ipa.go.jp/security/keihatsu/munekyun-pw/
いくつものパスワードを考えるのは大変ですが、使い回しはいつ被害に遭ってもおかしくない本当に危険な事です。下記のサイトを参考に自分なりのパスワードの作り方のルールを決めるといいでしょう。
IPA独立行政法人 情報処理推進機構 チョコっとプラスパスワード
多くのサービスに登録しているとすべて覚えるのは大変です。パソコンのファイルにIDとパスワードを保存しているという方もいるかと思いますが、パソコン内に保存する場合はファイルが漏洩した場合に備えてExcelでパスワード付きファイルにして保存しましょう。設定方法は下記ページを参考にして下さい。
パスワードの使い回しだけでなく、フィッシングサイトにも気をつけなければなりません。フィッシングサイトは、実在のサービスを騙って「不在の為荷物を持ち帰りました」「アカウントをロックします」「至急パスワードを変更して下さい」などのメールを送りつけ、ボタンやURLをクリックさせて不正なサイトに誘導しID・パスワードやカード情報などを入力させようとします。そのようなメールを受け取った場合は、メールのボタンやリンクは絶対にクリックしてはいけません。無視するのが一番です。本物か判断がつかない場合はメールのリンクはクリックせず、その会社のHPを検索しお知らせの欄を確認する、ログインして状況を確認する、サポートセンターに問い合わせをする、などの対応をとると良いでしょう。
また、インターネットを見ていると突然「マルウェアに感染しました」「システムが損傷しています」「iPhoneが当選しました」などの画面が表示されることがあります。これは広告に仕込まれ表示されたフィッシングサイトに誘導する偽のページなので、無視して閉じて下さい。中には「閉じるボタンがない」「閉じるを押しても閉じない」というページがあります。その時は、WindowsならAlt+F4、MacならCommand+Qを押すと閉じることが出来ます。閉じた後は、念のためパソコンにインストールされているセキュリティソフトで検査しましょう。
今回は不正ログインのケースについて簡単にお話ししましたが、インターネット上には他にも沢山の脅威があります。
IPA独立行政法人 情報処理推進機構が分かり易く参考になる資料を作成していますので、こちらを参考にして下さい。