不正アクセスのされ方【現代にはびこる禁じ手の対策】

すぐできるセキュリティ対策

ネット上でよく見かける「不正アクセス被害の原因」は、だいたい自分のせいである。

企業のせいにしたい気持ちもわかる。だが、自分のせいなのに企業の印象を下げてしまうと、印象低下の代償としてアカウント閉鎖に追い込まれかねない。

どれほど自分がセキュリティを疎かにしていたのか、どのようなレベルの手口で罠にハメられているのか。

上記2つの疑問を解消していく。

スポンサーリンク

狙われるタイプから逃れる

脅威からの逃走

「下手な鉄砲も数撃ちゃ当たる」ということわざがあるとおり、「罠を沢山増やしてたまたま引っかかった人の情報を抜く」といった作戦が多い。

つまり、悪い人は「そのサービスを利用しているだろう確率の高い罠」を仕込み、大雑把だが選別している。

「お金を持っている」とわかってしまうようなもの・「性的欲求を満たしてしまう」もの(個人判別画像系)は特に敏感になろう。

冒頭でだいたい自分のせいと言ったが、もちろん企業から流出(漏洩)することもある。

見極めの難易度が高いため「基本無視」でいいが、不要なアカウントはできるだけ削除(退会)しよう。

しなければいいことまとめ

  • VPNを使わずに共有Wi-Fiを使う(暗号化された有料Wi-Fiでも
  • 自分がお金を持っているとバレる拡張機能・アプリの使用
  • 古いバージョンを使い続けない
  • httpのサイトで個人情報を入力
  • 金融サービスのURLを確認せずにアクセス
  • アカウント情報使い回し
  • パスワード適当
  • root化(脱獄)
  • 大手アプリと似たようなアプリを使う
  • 手当たり次第にアプリを入れまくる
  • 手当たり次第に拡張機能を入れまくる

だいたいこのような感じなので、心当たりがあれば読み進めて確認しよう。

スポンサーリンク

高度に仕組まれた不正アクセスのされ方

もちろんすべて「100%安全でない」というわけではない。

本当に必要なものだけ使用し、それ以外は無視、またはお金を払ってセキュリティを買うだけで対策になる。

暗号化された共有の有料Wi-Fiを使う

共有Wi-Fiの危険性

フリーWi-Fiの危険性もさることながら、暗号化された「共有」Wi-Fiはたとえ有料でも同じパスワードを使用している。

Wi-Fiに同居している=「フリーWi-Fiと同じ状態になっている盲点」は常に警戒しておこう。

暗号化されたWi-Fi参考パスワードが公開された公衆無線LAN、暗号化されていても盗聴できる?(アカウント登録必須)

一人専用なら大丈夫なので、一番現実的なのはVPNで自分専用回線にするのが簡単だ。

セキュリティ向上の割に安価で利用できるし、無料のサービスもある。

ただし、スマホアプリは「ログを保存するもの」ばかりなので注意しよう。

上記のことはカフェや公共施設を想定しているものだが、シェアハウスも盲点だ。さらに、アプリの通信が暗号化されているかどうかも確認ができない。

『対策法』「VPNサービスを使い通信を暗号化させる」・「暗号化されていても共有Wi-Fiは使わない」。

お金の関係する拡張機能を使う

拡張機能の危険性

本当に使う必要があるのか考え直そう。

拡張機能(アドオン)の権限は、「開発者が後から変更」することができる。

「自動更新で知らない間に変更」→「ページを差し替えられる」→「情報入力」といった定番のコンボが成立してしまうのだ。

そして、悪い人は「どうせ引っかかるのならもうちょっと効率を良くしたい」と考え、「お金の関係しない人のページを差し替えても中身がなければ時間の無駄」という結論にたどり着く。

お金を持っている人に絞る必要があるので、必然的に「お金を持っている人が使いそうな拡張機能を開発」しだす。

結果、セキュリティではなく利便性を優先したターゲットに絞り、「当選した人が不正アクセスされる流れ」が誕生する。

『対策法』「本当に必要な拡張機能だけに絞る」・「仮想通貨などのお金に直結する拡張機能は避ける」・「写真系も避ける(人生が破壊されるので、変なものをアップしないように)」。
スポンサーリンク

簡単な不正アクセスのされ方

題名で「ネタバレ」している。

それほどまでに常識であり、知らないということは確実にターゲットにされている項目だ。

httpのサイトで個人情報入力

暗号化されているのはhttps

httpは暗号化されていないため、「個人情報を入力したら盗まれる」と思ってもらって良い。

閲覧している内容もわかるようなので、不思議なサイトを見られたくなければVPNを検討しよう。

現在はGoogleのおかげでほとんどのサイトがhttps化(暗号化)している。

といっても、どことは言わないが一部の業界でhttpが生き残っているので、引き続き「s」がついているかついていないかを確認する必要はある。

もちろん見られても困るサイトでなければhttpで問題ない。

『対策法』「VPNを使い暗号化する」・「httpのページで個人情報を入力しない」。

URLを確認せずに偽サイトにアクセス

偽サイトホイホイ

いわゆるフィッシング詐欺だ。

最近はブラウザ側で防御したり、アンチウイルスソフトにだいたい付いてくる機能のため、あまり気にならなくなった。

だが、対策してもすごいスピードで偽サイトを量産してこられると、防御サービスがブラックリストに入れるまでに間に合わず、普通に偽サイトにアクセスできてしまう。

最近では仮想通貨業界が餌食になっているため、金融業界は特に神経を使い警戒すること。

確実に公式サイトを知っているなら、URLを完璧に見極めよう。

送られてきたメールにアクセスする必要はほぼないが、そこを狙われ広告を使い「検索上位に偽サイトが準備されていたり」することもあるので、検索からではなく事前にブックマークしておいた本物サイトへのリンクが一番安全だ。

もし不審なサイトがあれば、aguse.jp: ウェブ調査というサイトで調べることはできる。もちろんブラックリストに載っていない可能性もあるため過信は禁物。

『対策法』「メールや変なサイトのURLから進まずブックマークからアクセスする」・「URLを調べる」・「セキュリティソフトを入れる」・「情報入力時、わざと初回だけ失敗させる」・「個人情報入力は必ず焦るよう精神を弱める」

アカウント情報使い回し

パスワード123456

「悪質な迷惑行為」の代表格、パスワード使い回しのことだ。

使用しているサービスから流出したわけではなく、どこかで流出した情報をもとにリストで攻撃されるため、企業側は防ぎようがない。

「1箇所使い回ししている!」という事実だけでも「発言の権利剥奪」ものだ。

企業側からすれば注意喚起をしているのに流出した際に「企業のせい」にされるリスクもあるため、ちょっとだけ企業のことを考えてくれる優しさがほしい。

『対策法』「パスワード管理ソフトを使う」。

root化(脱獄)

脱獄、する必要ありますか?

不要。聞いた段階でわからない人がやるものではないので、わからないのなら次の章まで読み飛ばそう。

セキュリティの穴が増えるおそれと引き換えに、「ゲームを有利に進める」・「初期から入っているアプリを消す」といったことでよく紹介されている。

「公式ストアにないアプリをインストール」するケースなど一線を越えまくっているため、まったくオススメできない。

ゲームの場合は大多数の人が何の細工もせず利用しているわけで、成績が悪いのは端末のせいではない可能性が高い。諦めて正常のまま使おう。

不要なアプリを消したいのもわかるが、消したところで「通信と電池残量」がどの程度変わったかわからず、ただの自己満足で終わるという結果を知り、「どうでもいい」ということにしておき今すぐこの単語を忘れよう。

『対策法』「root化なんてものは存在しない」。

Googleのアプリと大差のない似たようなアプリを使う

アプリを1つの会社によせる

1社依存を推奨。

利便性は本当に大きく変わっているのだろうか? 知らないアプリに権限を与えるなら、多少我慢をして1社に絞ったほうが良い。

「Google(Android)」と言っているが、「Apple(iOS)」も同じことだ。

AndroidとiOSを使っているということは、この2つの企業の商品をすでに使っている=「選択肢がないから強制的に信用している」といった状態である。

ということは、すでに使用している企業のアプリは「いくら使っても安全」と断定したほうが、無駄な考えをしなくてすむ。なぜなら、どのアプリでも不正しようと思えばできるからだ。

かかわらざるを得ない企業のサービスに絞ることで余計な情報流出の数が減り、ターゲットからも逃れられる。

もちろんベンダーロックイン(メーカー依存)の問題もあるため、1つ流出すると全部危険に陥るかもしれない。

ただ、この場合は1つに絞るべきのベンダーロックインであり、当サイトは無視を推奨する。

大事な情報を1つの企業で管理するのはちょっと怖いが、アプリの場合は被害を減らすため1つの企業に絞ることを優先したほうが良い。

ちなみに、以下のような似たアプリがGoogleに存在するので、先にGoogleのアプリを調べ、その後に他のアプリを調べよう。

  • メモ → KeepまたはTodoリスト
  • アラーム → 時計
  • 電話帳 → 連絡帳
  • 電卓
  • QRコード → 端末のカメラに付いていないか確認
『対策法』「パスワード管理ソフトでアカウント強度の底上げ」。

非公式アプリを使う

あまりいらない非公式アプリを使う

Webで見られるものはWebで、激烈に利便性が上がらないのなら使用を控えよう。

何度も似たようなことをいうが、「1つの利便性に対してアプリ1つ」をやめるだけでセキュリティ対策になる。

権限がどうなっているかわからず、「常に画像を不正入手されている」と勘違いすることで一気にインストールする数が減るはずだ。

『対策法』「余計なものを入れない」。

簡単なセキュリティ対策まとめ

  • 余計なものは入れない
  • 共有Wi-Fiは使わず、VPNを駆使する
  • バグをおそれず、すぐに最新版にする
  • パスワード管理ソフトを使う
  • 何でも暗号化する
  • お金持ちになる

「便利だから入れなよ!」という友達付き合いは、仕方なく入れよう。

スポンサーリンク

対策・暗号化を駆使する

極端な話、「何でも暗号化」することで最強になれる。

暗号化自体はこちらでする必要はなく、ポチポチするだけで簡単にできるようサービス側が「面倒な手順」を省く設計にしている。

VPNで通信を暗号化

シェアハウスの盗聴の件は気持ちが悪いので想像したくないが、「暗号化された共有の有料Wi-Fi」を使用していた方は別途VPNの購入を進める。

やっていることがセキュアのわりに非常に安い。もちろん無料も存在。

無料のものは利用規約に「ログ(閲覧)の保存」と書いてあることもあるので、「ノーログポリシー」かつ当然のセキュリティを持ったサービスだけ使おう。

当サイトはノーログポリシーのVPNを調査し、満たしたものしか紹介していない。

くれぐれも盗聴されないようにVPNを使用したのに、「VPNサービスに盗聴のようなことをされる」ことのないよう以下の記事を参照するといい。

パスワード管理ソフトで暗号化

当サイトは「パスワード管理ソフトの選択の仕方」から「使い方の記事」まで充実している。

パスワード管理ソフト最強の2つしか紹介していないので、自分にあったソフト・アプリを簡単に判別できるだろう。

それでもなお手抜きパスワードを使いたいなら、こちらのテクニックで強化だ!

覗き見・盗み見対策

特に注意すべきなのは電車内だろう。

これらで流出させたアカウント情報は、同じく自分のせいになる。それほど初歩的なミスなので、時間があれば修行するといい。

暗号化ソフトを使う

システム(OS)そのものを暗号化するものや、クラウドを暗号化して「サービスの信頼度」を無視する使い方が存在する。

食べ物で例えると、「安全だと信じて食べる」部分を無視して強制的に暗号化できるのが非常に良い。

もともと上記のような動作で暗号化されているクラウドもあるぞ!

【SSS】地球上で最も安全性の高いクラウドSync

パスワード強度底上げ機能

日本のサービスはまだ普及していないが、海外では当たり前になっている「2段階認証」。

パスワードを変えずに「記号を含めた64桁のパスワードになるのではないか」と思うほどの強度になれるので、そろそろ使ってみては。

【S】将来を考えたおすすめ2段階認証アプリ2選

コメント

  1. 8digit is enough to save pass length. より:

    2段階認証が64文字、というのはその通りだと思います。
    64文字だろうがなんだろうがだめなときはだめ、という意味でですが。

    • ぷっぷ より:

      そんな感じ!∩(・∀・∩