ネット上でよく見かける「不正アクセス被害の原因」は、だいたい自分のせいである。
企業のせいにしたい気持ちもわかる。だが、自分のせいなのに企業の印象を下げてしまうと、印象低下の代償としてアカウント閉鎖に追い込まれかねない。
どれほど自分がセキュリティを疎かにしていたのか、どのようなレベルの手口で罠にハメられているのか。
上記2つの疑問を解消していく。
狙われるタイプから逃れる
「下手な鉄砲も数撃ちゃ当たる」ということわざがあるとおり、「罠を沢山増やしてたまたま引っかかった人の情報を抜く」といった作戦が多い。
つまり、悪い人は「そのサービスを利用しているだろう確率の高い罠」を仕込み、大雑把だが選別している。
冒頭でだいたい自分のせいと言ったが、もちろん企業から流出(漏洩)することもある。
見極めの難易度が高いため「基本無視」でいいが、不要なアカウントはできるだけ削除(退会)しよう。
しなければいいことまとめ
- VPNを使わずに共有Wi-Fiを使う(暗号化された有料Wi-Fiでも)
- 自分がお金を持っているとバレる拡張機能・アプリの使用
- 古いバージョンを使い続けない
- httpのサイトで個人情報を入力
- 金融サービスのURLを確認せずにアクセス
- アカウント情報使い回し
- パスワード適当
- root化(脱獄)
- 大手アプリと似たようなアプリを使う
- 手当たり次第にアプリを入れまくる
- 手当たり次第に拡張機能を入れまくる
だいたいこのような感じなので、心当たりがあれば読み進めて確認しよう。
高度に仕組まれた不正アクセスのされ方
もちろんすべて「100%安全でない」というわけではない。
本当に必要なものだけ使用し、それ以外は無視、またはお金を払ってセキュリティを買うだけで対策になる。
暗号化された共有の有料Wi-Fiを使う
フリーWi-Fiの危険性もさることながら、暗号化された「共有」Wi-Fiはたとえ有料でも同じパスワードを使用している。
Wi-Fiに同居している=「フリーWi-Fiと同じ状態になっている盲点」は常に警戒しておこう。
暗号化されたWi-Fi参考パスワードが公開された公衆無線LAN、暗号化されていても盗聴できる?(アカウント登録必須)
一人専用なら大丈夫なので、一番現実的なのはVPNで自分専用回線にするのが簡単だ。
セキュリティ向上の割に安価で利用できるし、無料のサービスもある。
上記のことはカフェや公共施設を想定しているものだが、シェアハウスも盲点だ。さらに、アプリの通信が暗号化されているかどうかも確認ができない。
お金の関係する拡張機能を使う
本当に使う必要があるのか考え直そう。
拡張機能(アドオン)の権限は、「開発者が後から変更」することができる。
そして、悪い人は「どうせ引っかかるのならもうちょっと効率を良くしたい」と考え、「お金の関係しない人のページを差し替えても中身がなければ時間の無駄」という結論にたどり着く。
お金を持っている人に絞る必要があるので、必然的に「お金を持っている人が使いそうな拡張機能を開発」しだす。
結果、セキュリティではなく利便性を優先したターゲットに絞り、「当選した人が不正アクセスされる流れ」が誕生する。
簡単な不正アクセスのされ方
題名で「ネタバレ」している。
それほどまでに常識であり、知らないということは確実にターゲットにされている項目だ。
httpのサイトで個人情報入力
httpは暗号化されていないため、「個人情報を入力したら盗まれる」と思ってもらって良い。
閲覧している内容もわかるようなので、不思議なサイトを見られたくなければVPNを検討しよう。
といっても、どことは言わないが一部の業界でhttpが生き残っているので、引き続き「s」がついているかついていないかを確認する必要はある。
もちろん見られても困るサイトでなければhttpで問題ない。
URLを確認せずに偽サイトにアクセス
いわゆるフィッシング詐欺だ。
最近はブラウザ側で防御したり、アンチウイルスソフトにだいたい付いてくる機能のため、あまり気にならなくなった。
だが、対策してもすごいスピードで偽サイトを量産してこられると、防御サービスがブラックリストに入れるまでに間に合わず、普通に偽サイトにアクセスできてしまう。
確実に公式サイトを知っているなら、URLを完璧に見極めよう。
送られてきたメールにアクセスする必要はほぼないが、そこを狙われ広告を使い「検索上位に偽サイトが準備されていたり」することもあるので、検索からではなく事前にブックマークしておいた本物サイトへのリンクが一番安全だ。
もし不審なサイトがあれば、aguse.jp: ウェブ調査というサイトで調べることはできる。もちろんブラックリストに載っていない可能性もあるため過信は禁物。
アカウント情報使い回し
「悪質な迷惑行為」の代表格、パスワード使い回しのことだ。
使用しているサービスから流出したわけではなく、どこかで流出した情報をもとにリストで攻撃されるため、企業側は防ぎようがない。
「1箇所使い回ししている!」という事実だけでも「発言の権利剥奪」ものだ。
企業側からすれば注意喚起をしているのに流出した際に「企業のせい」にされるリスクもあるため、ちょっとだけ企業のことを考えてくれる優しさがほしい。
root化(脱獄)
不要。聞いた段階でわからない人がやるものではないので、わからないのなら次の章まで読み飛ばそう。
セキュリティの穴が増えるおそれと引き換えに、「ゲームを有利に進める」・「初期から入っているアプリを消す」といったことでよく紹介されている。
「公式ストアにないアプリをインストール」するケースなど一線を越えまくっているため、まったくオススメできない。
不要なアプリを消したいのもわかるが、消したところで「通信と電池残量」がどの程度変わったかわからず、ただの自己満足で終わるという結果を知り、「どうでもいい」ということにしておき今すぐこの単語を忘れよう。
Googleのアプリと大差のない似たようなアプリを使う
1社依存を推奨。
利便性は本当に大きく変わっているのだろうか? 知らないアプリに権限を与えるなら、多少我慢をして1社に絞ったほうが良い。
「Google(Android)」と言っているが、「Apple(iOS)」も同じことだ。
AndroidとiOSを使っているということは、この2つの企業の商品をすでに使っている=「選択肢がないから強制的に信用している」といった状態である。
かかわらざるを得ない企業のサービスに絞ることで余計な情報流出の数が減り、ターゲットからも逃れられる。
もちろんベンダーロックイン(メーカー依存)の問題もあるため、1つ流出すると全部危険に陥るかもしれない。
ただ、この場合は1つに絞るべきのベンダーロックインであり、当サイトは無視を推奨する。
ちなみに、以下のような似たアプリがGoogleに存在するので、先にGoogleのアプリを調べ、その後に他のアプリを調べよう。
- メモ → KeepまたはTodoリスト
- アラーム → 時計
- 電話帳 → 連絡帳
- 電卓
- QRコード → 端末のカメラに付いていないか確認
非公式アプリを使う
Webで見られるものはWebで、激烈に利便性が上がらないのなら使用を控えよう。
権限がどうなっているかわからず、「常に画像を不正入手されている」と勘違いすることで一気にインストールする数が減るはずだ。
簡単なセキュリティ対策まとめ
- 余計なものは入れない
- 共有Wi-Fiは使わず、VPNを駆使する
- バグをおそれず、すぐに最新版にする
- パスワード管理ソフトを使う
- 何でも暗号化する
- お金持ちになる
「便利だから入れなよ!」という友達付き合いは、仕方なく入れよう。
対策・暗号化を駆使する
極端な話、「何でも暗号化」することで最強になれる。
暗号化自体はこちらでする必要はなく、ポチポチするだけで簡単にできるようサービス側が「面倒な手順」を省く設計にしている。
VPNで通信を暗号化
シェアハウスの盗聴の件は気持ちが悪いので想像したくないが、「暗号化された共有の有料Wi-Fi」を使用していた方は別途VPNの購入を進める。
やっていることがセキュアのわりに非常に安い。もちろん無料も存在。
無料のものは利用規約に「ログ(閲覧)の保存」と書いてあることもあるので、「ノーログポリシー」かつ当然のセキュリティを持ったサービスだけ使おう。
くれぐれも盗聴されないようにVPNを使用したのに、「VPNサービスに盗聴のようなことをされる」ことのないよう以下の記事を参照するといい。
パスワード管理ソフトで暗号化
当サイトは「パスワード管理ソフトの選択の仕方」から「使い方の記事」まで充実している。
パスワード管理ソフト最強の2つしか紹介していないので、自分にあったソフト・アプリを簡単に判別できるだろう。
それでもなお手抜きパスワードを使いたいなら、こちらのテクニックで強化だ!
覗き見・盗み見対策
特に注意すべきなのは電車内だろう。
これらで流出させたアカウント情報は、同じく自分のせいになる。それほど初歩的なミスなので、時間があれば修行するといい。
暗号化ソフトを使う
システム(OS)そのものを暗号化するものや、クラウドを暗号化して「サービスの信頼度」を無視する使い方が存在する。
食べ物で例えると、「安全だと信じて食べる」部分を無視して強制的に暗号化できるのが非常に良い。
もともと上記のような動作で暗号化されているクラウドもあるぞ!
パスワード強度底上げ機能
日本のサービスはまだ普及していないが、海外では当たり前になっている「2段階認証」。
パスワードを変えずに「記号を含めた64桁のパスワードになるのではないか」と思うほどの強度になれるので、そろそろ使ってみては。
コメント
ぷっぷさん、こんばんは。
VPNについて質問させてください。もし、ルーターなどのデフォルトゲートウェイをハッキングされていた状態でもVPNを利用していれば盗聴されることはないのでしょうか?(前提として、クライアントのPCなどはハッキングされていないとして)
フリーWifiでVPNが必須というのは、フリーWifiのルーターがハッキングされていてもVPNを使用していれば安全という意味なのでしょうか?
デフォルトゲートウェイ全然わからないという(´ε`;)
なので、ハッキングされた状態でどのように問題が発生するのか想定することができませんでした。
これはFree Wi-Fiが本物になりすました偽物で、そこに入った時になんやかんやの盗聴、またはFree Wi-Fiで同居した際になんやかんやの盗聴の話ですね。
前者は悪意のある物の端末を経由するので、かなり気持ち悪いです( Ꙭ)
技術的に考えると普通の通信の中にVPNトンネルを作っているので「VPN適用」、つまり暗号化されているようには思えますが、知識不足でわからないという。
ぷっぷさん、返信ありがとうございます。
すみません、私自身もよくわかっていない状態で質問してしまい。
要は、ルーターの管理パスワードをハッキングされてルーターを知らない間に乗っ取られた状態で、パソコンからそのルーター経由でネット接続するときにVPNを使用すれば安全(盗聴されない)か?ということなのですが、
>前者は悪意のある物の端末を経由するので、かなり気持ち悪いです( Ꙭ)
ということと同じような気がするので、安全かもしれないけど危険かもしれない、ということですかね?
私も「使っていたら暗号化される」くらいしかわからないのですが、そういうことでしたらパスワードを知って同居している「Free Wi-Fi」や「パスワード付きかつ暗号化されているけどパスワードは公開されている」同居シリーズは同じ類なので暗号化されているはずです!
※「はず」以上のことを言えなくてごめんなさい(´ε`;)
ただ、サーバーに「ノーログポリシー」というものが存在する=中継地点でログは取れるということなので、ルーターの話ですが暗号化のタイミング次第で接続先か何かは見えちゃうのかもしれません。
これも想定の話で申し訳ありません。
こんにちはー。以前私の友人がフィッシング詐欺メールに引っかかりそうになったのを止めた経験があります(たまたま一緒にいた)。
その友人から、ネット関係には疎くてフィッシング詐欺との見破り方を紹介サイトで見ても分からないから教えてほしいと言われましたんで、「どんな理由があってもメールのリンクを使うな、ブラウザから確認しろ」「怪しい不自然な日本語でも優しく真摯に話を耳を傾けるのは外国人観光客から道尋ねられた時だけにしろ」と伝えました。
あれから一度も騙されることはなくなったと喜ばれましたね。最近はぱっと見正規のメールアドレスにしてあったり、リンクのURLが正しくてもメールからだと即リダイレクトしたりと巧妙化してますね。フィッシングサイトがもし暗号化されてても私なら証明書見てどんな人が犯人かなって想像したりしますけど笑
そうなんですよね、大体漏洩済みのアドレス宛にフィッシングが届いているだけなので、それだけでゴッソリ回避できるので教えやすい∩(・∀・∩
私はURLを確認して問題なければGOしちゃうけど、そもそも迷惑メール0の整理済みアドレス(苦行)なので普通の環境じゃないかも。
「怪しい不自然な日本語でも優しく真摯に話を耳を傾けるのは外国人観光客から道尋ねられた時だけにしろ」は、私も肝に銘じます( Ꙭ)
さすがやりますねぇ!?
てのは置いといて、ぷっぷさんのような詳しい方は何が危険で何が安全か分かる人は良いですが、よくわからん!で止まる人や初心者の方には本当におすすめできますよ、「メールのURL使うな」論。あ、それから改めて暗号化の重要性を確認しました!Androidは中古の旧端末の場合暗号化されてないことありますから注意が必要ですね。てかベンダーによっては…あとで確認しよ
本当だ、デフォルトで暗号化するようになってるはずだと思ってたら、「Pixelは」としか書いていない( Ꙭ)
参考データを暗号化する – Nexus ヘルプ
でも、画面ロック使ってくれない人もいるんですよねー オラァ( っ・∀・)≡⊃ ゚∀゚)・∵.
いまのところ言いくるめられない……
ちなみに、使ってもいないのにPixelLOVEです( Ꙭ)
pixelいいですよね(^^)(自分も持っていないです)
暗号化はメーカーによって初めからしてくれるところもあるかもしれませんし、自分でやる必要があるのかもしれませんね。たしか6.0あたりから追加されましたっけ?
画面ロックなしで紛失・盗難とかどう考えてるんでしょうね。自分だけでなく関係者巻き込むから怖い〜
ちなみに盲点に、microSDがあったりします。Androidならではの魅力なんですが、紛失・盗難時には爆弾となる罠
MicroSD暗号化できないと思ってたのですが、最近のはできるものがあるようですね∩(・∀・∩
普通の人は絶対していないだろうけど( Ꙭ)
MicroSDの良くないところは「画面ロック関係無しに抜き差しできてしまう」ことなので、不安を煽る記事として使えそうなのでメモだけ取っておこう。
とても参考になりました。
この記事を読んで、疑問に思ったことがあります。
私はパスワード管理をブラウザ(firefox)に保存しています。これはよくないのでしょうか?
保存先はローカル側だと思いますが、この保存ファイルが流出したら全部バレてしまうので危険かも…と考えました。どうなのでしょうか?お返事いただけたら嬉しいです。
Firefoxのパスワード管理がどのようなレベルかわからないですが、Chromeでは以下のような記事を作成し、「十分安全ですが使いにくい」結論を出し、使いやすく管理のしやすい専用パスワード管理ソフトの使用を推奨しています。
参考危険と言ったのは誰だ!GoogleChromeでパスワード管理
Chromeのはとにかく使いにくいといった感じですが、現状Firefoxのパスワード管理に何も不便を感じていないなら、Chromeと同じく「共有させない限り安全性は保たれる」という認識で問題ありません∩(・∀・∩
引用Firefox のパスワードマネージャー | Firefox ヘルプ(パスワードの保護の部分)
だそうですので、共有する場合はマスターパスワードがありますのでそちらの方で防御をすれば乗り換える必要もなく、引き続き使っていても問題ないと思います!(窃盗にも対応)
参考マスターパスワードでログイン情報を保護する | Firefox ヘルプ
あとは適当で申し訳ないですが、Firefox系のサービスは総じてセキュリティ意識が高いので、信頼性抜群でーす( ・ω・)/
やはり、2段階認証は良いですよね(^∇^)
でも、ここに書いてある通り殆ど日本サービスでは対応してないのが本当に残念ですよね(T . T)
外国サービスでは殆どあるのに……。
それなので、出来る限り日本サービスは使わないようにしてます。外国サービスは英語のが多いですが、ぷっぷさんの記事や、Google翻訳などで調べながらやれば大丈夫なのでw。
実際どこの日本サービスとはいいませんが、パスワード最大桁数が英数字(記号無し)8桁のもありますからね。(2段階認証も無し)これでは不正ログインされても当たり前ですよね。実際これ金融関係(に近い)ですから。
セキュリティを気を付けている人が損をする感じでなんか悲しいです
もしかしてですが、日本人はネットリテラシー、セキュリティ意識が最下位ですので(確かそうだったはず、違ったらすみません)長いパスワードを入力出来る様にしてもどうせ殆どの人が使わないから導入しなくても良いかな と思っているのですかね?
日本人はハッキングの危険に付いて学んで欲しいですね、そうしたら少しはセキュリティに付いて考えられますからね。
セキュリティ意識が最下層滞在なのはすごい実感しますね。
ネットリテラシーは翻訳すると大分丁寧な言葉に改変されるので、海外と実は変わらない可能性があります(´ε`;)
どちらにせよ、セキュリティ意識の高い人が有名になり、権威性ゴリ押しでセキュリティ意識に目を向けさせる作戦が一番合理的なのは間違いないでしょう。
完全にやりすぎセキュリティ待ち( Ꙭ)
とても勉強になりました。
二段階認証について少々詳しくしりたいなと思ってこのサイトを覗いてみたのでがとてもよかったです。
感想っぽくなってしまいますが、自分が思ったことを一言でいうとしたら
ネットの世界は無知が負ける!
って感じました。
す、すごく嬉しいこと言われた……(;゚∀゚)=3