ぴあの流出事件とアマゾンで大量発生中の中華詐欺を受けて。
はじめに
先日、ぴあが運営していた、国内バスケットリーグであるBリーグのチケットサイトなどから、クレジットカード情報を含む個人情報15万件(カード情報3万件)が流出し、カードの不正利用も既に約200件、被害総額600万円程度が報告されているらしいですね。
また、現在アマゾンでアカウントの乗っ取りが多発しているらしいです。中国系の詐欺集団が他人のアカウントを乗っ取って、そのアカウントで詐欺をするので(他人の名前や住所を使用して)、いきなりクレームの連絡が自分に来たりして乗っ取られたことに気付くらしいです。
こういうのは勘弁してほしいと思うですが、自分のネットセキュリティを見直す良い機会だとも思うので、最低限のネットセキュリティ対策を以下書いてみます。
Googleアカウント
これ、2段階認証を入れてない人は今すぐ入れるべきだと思います。
Google 2 段階認証プロセス
https://www.google.co.jp/intl/ja/landing/2step/
乗っ取られてからでは遅いし、2段階認証をいれればかなり強固なセキュリティを実現できます。また、2段階認証の導入は非常に簡単です。
ここで、2段階認証について詳しくない人のために補足します。
2段階認証とは、ログインする際に、パスワードだけでなく、特定の物を持っていることが必要になる認証方法です。
典型的なのがワンタイムパスワードです。あれは、30秒ごとにパスワードが変わることも重要ですが、パスワード生成機・アプリを持っている人のみがアクセスできるという仕組みに本質があります。
万が一パスワードが流出して誰かが不正取得しても、パスワード生成機の現物を持っていなければログインされることはありません。
Googleの二段階目では、スマホ認証、SMS認証、アプリ認証などが選べます。
スマホ認証というのは、パソコンでアカウントにログインしようとすると、登録しておいたスマホに、ログインしようとしていますかというメッセージが出るので、そこで、「はい」を押すと、パソコンでもログインできるという仕組みです。
SMS認証というのは、ログインしようとすると、ワンタイムパスワードがSMSで送られてくるというものです。SMSは電話番号に送られるメールですから、その電話番号が使える携帯を持っている人だけが知ることができます。
アプリ認証とは、ワンタイムパスワード生成アプリ(Google Authenticator)をスマホにインストールして、アカウントに登録し、そのワンタイムパスワードがログインに必要になるという仕組みで、これも、そのアプリを入れたスマホを持っている人にしか知りようのないパスワードになります。
Amazonアカウント
アマゾンでも二段階認証を登録できます。
2段階認証について
https://www.amazon.co.jp/gp/help/customer/display.html/ref=hp_left_v4_sib?ie=UTF8&nodeId=202025410
上述のアカウント乗っ取りも、二段階認証さえ入れておけば間違いなく阻止できたはずのものです。
また、Googleにしろアマゾンにしろ、二段階認証というのは、よく使う端末(自宅のパソコンなど)だけ不要にすることもできるので、事実上、ログインが面倒になることはありません。
普段使わない端末でログインしようとすると2段階目のワンタイムパスワードが必要になるというものです。
楽天アカウント
楽天は2段階認証が出来ません。これだけは早く対応してほしいですね。
その代り、ログインするたびにメールが送られてくる設定にできるのでしておいた方が良いと思います。これがあれば自分以外の人間がログインしたことにすぐ気づけます。
ログインアラートについて
https://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/15680/
パスワード管理ソフト
個人的にはパスワード管理ソフトも必須だと思います。ほぼ無料ですしね。
などがあり、個人的にLastPassが使いやすく安いのでお勧めです。
個人情報の流出でなにが怖いと言っても、流出したメアドとパスワードで、楽天やらアマゾンやら、通販サイトを片っ端からログインを試みるやり方が一番怖いです。
各サイトごとにパスワードを変えておかないと一網打尽にされる可能性があります。
そこで、各サイト毎にパスワードを変える必要が出てきますが、それだととても管理できないので、ソフトを使います。
各サイト毎のパスワードを一つのソフトウェアに保存して、マスターパスワードでロックをかけるので、信用できない人も多いみたいですが、簡単なパスワードを使いまわすくらいなら、各サイト毎に複雑なパスワードを設定しておく方が安全です。
また、いろんなサイトのIDとパスワードが一カ所に集約されることになりますが、ソフトウェア会社のサーバーに保存されるのは、自分しか知らないマスターパスワードで暗号化された情報ですから、流出しても実害が出るリスクは低いですし、本職ですから通販サイトなどよりははるかに安心できます。
もちろん、2段階認証は当然設定すべきですし、重要性の高いサイトのIDとパスワードだけは頭に記憶しておきます。
利用通知メールのある銀行
怖くてネット銀行を使わないという人もいますが、私は個人的にネット銀行の方が安心です。
何故かというと、ジャパンネット銀行にしろ、楽天銀行にしろ、おそらく他の銀行も、振込やら入金やらATMでの出金やら、口座の残高が動く都度メールくれるからです。
通帳記入やオンラインバンキングでの残高チェックは面倒でついつい忘れがちですから、残高が動いた時に銀行側から連絡をくれるのが一番安全です。
また、楽天銀行のオンラインバンキングはよくできていて、アプリを入れた端末以外から一切ログインできない設定が可能です。
利用通知メールのあるクレジットカード
ぴあの流出では、200件不正利用があって被害が600万円程度ということは、1件当たり3万円ですから、最近のカードの不正利用のトレンドとしては、少しずつ使って気づきにくいようにしているのでしょうね。
クレジットカードでも、不正利用対策で重要なのはこまめに明細をチェックすることにつきます。
ただ、そうはいってもこれも結構面倒で、使う都度メールをくれると助かります。
私の知っている限りで、利用するごとにメールで連絡をくれる会社は以下の3つです。
楽天カード
https://www.rakuten-card.co.jp/service/information_mail/
エポスカード
https://www.eposcard.co.jp/eposcard/safety.html
オリコカード
http://www.orico.co.jp/creditcard/service/eorico/confirm/mail/
使うごとにメールが来るのは鬱陶しいですが、メインカードは、上述のぴあのように2,3万円を溶かされると気付きにくいですから、こうやって都度確認していくのが一番確実です。
WordPress
なお、Wordpress(使ってる人少ないと思いますが)も二段階認証はプラグインで簡単にできます。ただ、プラグインで導入なので、FTP乗っ取られてプラグインファイルを削除されたら意味なしですけどね。とは言え、導入しておくに越したことはありません。
おわりに
思いつくままに適当に書いてみました。
今は何でもスマホで出来てしまい、便利な分リスクもありますが、だからといって、不便な時代に戻りたくもないので、セキュリティ対策をばっちりしていこうと思います。
2段階認証などは面倒なようですが、自分がよく使う端末は省略できるので、ほとんど変化はないです。