サイバーセキュリティ 
特権ID管理(PIM)とは、組織内のデータやネットワ
近年ではSNSをはじめとするアカウントがハッキングされたなんて話をよく耳にしますよね。
アカウントがハッキングされるとは、皆さんもご存知の通り、所有者の許可なくアカウントにアクセスされることです。
大規模なデータ侵害、弱いパスワードの使用、オンラインアカウントで多要素認証(MFA)を有効にしていないこと、フィッシング詐欺、または知らないうちにデバイスにマルウェアをインストールされることなど、さまざまな原因で発生する可能性があります。
この記事では、アカウントのハッキングやアカウントがハッキングされないように防ぐ対策について詳しく説明します。
SNSなどのオンラインアカウントのハッキングはなぜ起こる?
主な原因としては、大規模なデータハッキング、弱いパスワードの使用、オンラインアカウントで MFA を有効にしていない、フィッシング詐欺、またはデバイスにマルウェアをインストールされることなどによって侵害や乗っ取りをされてしまうことがよくあります。
公的データ情報漏洩の発生
大規模なデータハッキングは、アカウントやサービスを利用している会社で、顧客の個人識別情報(PII)が流出した場合に発生します。会社が何を保存しているかによって、データハッキングにより流出する情報は異なります。例えば、データハッキングは、ユーザーのログイン認証情報、生年月日、氏名、住所、社会保障番号などが流出する可能性があります。データハッキングでログイン認証情報が流出した場合、アカウントのハッキングにつながる可能性があります。
脆弱なパスワードの使用
脆弱なパスワードとは、パスワードを安全に守るベストプラクティスに従っていないパスワードです。パスワードのベストプラクティスでは、パスワードは16文字以上で、小文字と大文字、数字、記号を組み合わせて使用することが必要です。
この基準に従っていないパスワードは弱いと考えられます。
再利用されたパスワードや、一部だけ変更したパスワード、個人情報が含まれているもの、一般的な辞書の単語やフレーズを使用したパスワードも同様に弱いと見なされます。
弱いパスワードは、サイバー犯罪者が解読や推測をしやすいため、アカウントのハッキングにつながる可能性があります。例えば、6 文字の長さで、大文字、数字、記号が 1 つ以上含まれているパスワードは、サイバー犯罪者が使用するツールで即座に解読できます。
一方、16 文字の長さで、大文字、数字、記号が 1 つ以上含まれているパスワードは、同じツールを使っても解読に1兆年もの時間がかかるとされています。
アカウントのMFAを有効にしていない
MFA(多要素認証) は、有効にしておくことで、オンラインアカウントに保護レイヤーを追加できるセキュリティ対策です。MFA を有効にすると、ログイン先のアカウントを所有していることを証明するために、ユーザー名とパスワードに加えて 1 つまたは複数の認証方法を提供する必要があります。サイバー犯罪者がアカウントのパスワードを知っていたり、推測したりすることができたとしても、MFA が要求する追加の認証を解くことはできません。
アカウントで MFA が有効になっていない場合、アカウントを保護する追加のセキュリティがないため、アカウントのハッキングが大幅に容易になります。
フィッシング詐欺に巻き込まれる
フィッシングは、サイバー犯罪者がソーシャルエンジニアリングのテクニックを使用して、被害者に知っている人物だと思わせて、センシティブな情報を提供させるサイバー攻撃です。サイバー犯罪者は、多くの場合、会社、友人、家族、さらには同僚のふりをします。フィッシング詐欺の場合、目的は被害者にログイン認証情報、クレジットカード番号などの個人情報を明らかにさせることです。
これは、被害者に情報を返信してもらうか、本物に見えるが実際にはなりすましサイトであるウェブサイトにつながる悪意のあるリンクをクリックしてもらうことによって行われる可能性があります。被害者がウェブサイトにセンシティブな情報を入力した場合、実質的には知らないうちにサイバー犯罪者にその情報を渡していることになります。ログイン認証情報を入力すると、サイバー犯罪者はそれらを使用して実際のオンラインアカウントにログインし、アカウントのハッキングにつながる可能性があります。
マルウェア
マルウェアは、デバイスにインストールされる種類に応じて、さまざまなことが可能な悪意のあるソフトウェアです。例えば、キーロガーはキー操作を追跡して、何を入力しているかを特定できます。スパイウェアは、デバイスの画面をひそかに見張り、デバイスのマイクやカメラにアクセスすることさえ可能です。
マルウェアは一般的に、なりすましウェブサイト、フィッシングメールやメッセージ、インターネット上の無料コンテンツのダウンロードの 3 つの方法のどれかによってデバイスにインストールされます。知らないうちにマルウェアがデバイスにインストールされると、複数のアカウントがハッキングされたり、クレジットカード番号など他の機密性の高い個人情報がハッキングされたりする可能性があります。
アカウントのハッキングを防ぐ対策
ここでは、オンラインアカウントのハッキングを防ぐための対策を5 つ紹介します。
強力なパスワードを使用する
各オンラインアカウントには、サイバー犯罪者が簡単に推測したり解読したりできない、複雑で強力なパスワードが必要です。強力なパスワードを作成するのではなく、パスワードジェネレーターを使用して、ランダムにパスワードを作成しましょう。これらの強力なパスワードを覚えておくことができないのではないかと心配な場合は、パスワードマネージャーの使用を検討してください。パスワードマネージャーは、パスワードの作成、管理と安全な保存を支援するツールです。複数のパスワードを覚えておく代わりに、覚えておく必要があるのはマスターパスワードだけです。
可能な限り、アカウントで MFA を有効にする
強力なパスワードに加えて、オンラインアカウントで可能な限り MFA を有効にすることも重要です。たとえ認証情報が大規模なデータハッキングで流出したとしても、MFA を有効にしていればユーザー名とパスワードだけでアカウントにアクセスされることはありません。使用できる一般的な MFA の方法には、パスワードマネージャーや認証アプリケーションを使用した時間ベースのワンタイムパスワード(TOTP)や、ハードウェアのセキュリティキー、生体認証などがあります。
安全でないパスワードの共有を避ける
安全でないパスワードの共有には、メール、テキストメッセージや、権限のない個人が簡単に傍受されてしまう可能性があります。例えば、Eメール上やスプレッドシートなどでパスワードを共有していませんか?
オンラインアカウントが悪意のある攻撃によってハッキングされるリスクを減らすためには、安全でない方法でのパスワード共有を控えることが重要です。
特にパスワードの共有には、パスワードマネージャーの利用が最も安全です。例えば、Keeperのようなパスワードマネージャーは、パスワードマネージャーを持っていない人とも、一時的にパスワードを共有するためのワンタイム共有機能を提供しています。Keeperの場合、共有時にはゼロ知識暗号化技術を用いてパスワードを暗号化し、サイバー犯罪者による傍受を防ぐために、パスワードを読めない形式に変換します。
フィッシング詐欺に気付く方法を学ぶ
フィッシングは、最も一般的なサイバー脅威の 1 つで、常に個人をターゲットにしています。フィッシング詐欺によるアカウントのハッキングを対策するためには、その見分け方を学ぶ必要があります。ここでは、メール、テキストメッセージ、電話がフィッシング詐欺であることを示す危険信号をご紹介します。
- 緊急性を演出する
- 大事な個人情報を提供するよう求めてくる
- リンクをクリックするように促してくる
- あまりにも激安すぎるオファーやキャンペーン
- 緊急の支払いを要求してくる
一方的に送られてきたリンクや添付ファイルをクリックしない
一方的に送られてきたリンクや添付ファイルをクリックすると、デバイスがマルウェアに感染したり、正規のものに見えて、実際は情報を盗むように設計された、なりすましウェブサイトが開いたりする可能性があります。アカウントのハッキングを防ぐために、一方的に送られてきたリンクや添付ファイルをクリックしないでください。
会社を名乗ってメールやテキストメッセージでリンクが送られてきた場合は、リンクをクリックするのではなく、自分でその公式ウェブサイトを探してください。これにより、正規のサイトを装った悪意のあるリンクをクリックするのを防ぐことができます。
オンラインアカウントがハッキングているか見分ける方法
以下に1 つ以上のオンラインアカウントがハッキングされていることを示す特徴を紹介します。
- 異常なログイン通知:オンラインアカウントにログインしていないにもかかわらず、誰かがあなたのアカウントにログインしたという通知を受け取った場合、他の誰かがログインし、アカウントがハッキングされた可能性があります。
- 投稿していないソーシャルメディアの投稿:自分で投稿していないことがわかっているソーシャルメディアアカウントで投稿があったことに気付いた場合、誰かにアカウントがハッキングされたことを意味します。
- 自分のアカウントからメールが送信される:メールアカウントにログインし、送信済みトレイに自分で送信していないメールがあることに気付いた場合、誰かがメールアカウントをハッキングし、それを使ってあなたになりすましてメールを送信していることを意味します。このようなメールは、連絡先に個人情報を送信させたり、悪意のあるリンクをクリックさせたりするフィッシング詐欺の試みである可能性があります。
- 2FA コード要求:オンラインアカウントで二要素認証(2FA)が有効になっており、要求していない 2FA コードの通知を受け取った場合、これは誰かがあなたのアカウントをハッキングするためにログインを試みていることを意味します。
まとめ:ハッキングからオンラインアカウントを保護しましょう
オンラインアカウントが 1 つハッキングされると、その他の大事な個人情報もハッキングされる可能性があります。アカウントのハッキングを防ぐために、各アカウントに複雑で強力なパスワードを使用し、MFAが利用できる場合はMFAを有効にして常にアカウントを保護しましょう。
またKeeperのようなパスワードマネージャーを利用することもアカウントを守る一つの手です。パスワードマネージャーは強力なパスワードの作成や 2FA コードの保存が可能になり、アカウントのハッキングを防ぐために役立ちます。
現在、Keeperパスワードマネージャーは無料30日間トライアル体験を行っているので、この機会に試してみてはいかがでしょうか。
