パスワードセキュリティ 
リバースブルートフォース攻撃は攻撃者が一つのパスワー
Microsoftアカウントから「不審なサインインが検出されました」といった通知を受け取ったとき、そのメールが本物なのか、それともフィッシングなのかを見極めるのは非常に重要です。
このような通知を受け取ると、ユーザーはすぐにアカウントを確認しなければならないと焦り、冷静さを失ってメールに添付されたリンクをクリックしてしまうことがあります。その結果、フィッシング詐欺に引っかかり、実際に自分のMicrosoftアカウントがサイバー犯罪者によって乗っ取られてしまう危険性があります。
そのため、Microsoftアカウントの不審なサインインメールを受け取った時の対処法を知ることが大切になります。
そこで、このブログでは、Microsoftアカウントの不審なサインインメールの見極め方と、実際に不審なサインインメールを受け取った時のステップ、Microsoft アカウントを乗っ取りを未然に防ぐ対策方法をご紹介します。
Keeperの無料トライアルで、パスワード管理をもっと簡単に。
安心・安全・便利を個人用30日間無料で体験しましょう
Microsoft アカウントの不審なサインインメールは本物なのか?
答えは、本物も偽物もどちらでもある可能性があります。
Microsoftアカウントから不審なサインイン通知のメールが届いた場合、本物のメールでも偽物のフィッシングメールでも、迅速な行動が求められます。
しかしながら、どちらの場合でも、メールに含まれているURLをクリックするのは避けるべきです。フィッシングメールの場合、そのリンクをクリックすると偽のフィッシングサイトに誘導され、そこで個人情報やアカウント情報を盗まれる危険があります。
このような通知を受け取った場合は、直接Microsoftアカウントのページにアクセスし、確認するのが確実です。
Microsoft アカウントを狙ったフィッシングメールか見分ける方法
Microsoft アカウントを名乗ったフィッシングメールは巧妙に作られており、以下のような項目を確認してみましょう。
- 差出人のメールアドレスが公式のものか確認する
- 緊急性を強調するメッセージ
- 違和感のある文章
- 添付リンクがおかしい
画像にもある通り、本物と偽物でも見分けることが難しいですが、この画像の場合は、添付リンクが「http://rec0veryーsupp0rtーmicr0s0ft.org/」のように表記されており、oの代わりに0を使っています。
Microsoft アカウントの不審なサインインメールを受け取った時のステップ
不審なサインインに関するメールを受け取った際に取るべき行動について、各ステップを詳しく解説します。
メールのリンクや添付ファイルをクリックしない
最初に、受け取ったメール内に記載されているリンクや添付ファイルを絶対にクリックしないようにしましょう。
フィッシング詐欺のメールは、Microsoft公式の通知に非常によく似せて作られており、リンクをクリックさせることで偽のフィッシングサイトに誘導しようとします。
フィッシングサイトの見た目は本物そっくりですが、入力したユーザー名やパスワードがサイバー犯罪者に盗まれる危険性があります。
また、添付ファイルにウイルスやマルウェアが含まれている場合もあり、これらを開くことでコンピュータやデバイスに被害を与える可能性があります。
URLの安全性を確認したい場合は、Googleが提供している透明性レポートを利用して、ここにそのURLを貼り付けることで、そのURLの安全性を確認することができます。
Microsoft アカウントに直接アクセス
メールに記載されたリンクを使用せず、ブラウザを開いて自分で直接Microsoftアカウントの公式サイトにアクセスしましょう。
Microsoftの公式ページからログインすることで、不審なサインインがあったかどうかを直接確認することができ、正しい情報に基づいて対応を取ることが可能です。
サインイン履歴を確認する
アカウントにログインした後、次に行うべきはサインイン履歴の確認です。
Microsoftアカウントには、最近のサインインの履歴を表示する機能があります。ここでは、サインインが行われた日時、使用されたデバイス、そしてサインイン場所の情報が表示されます。
この情報を確認することで、自分が行っていない不審なアクセスがないかどうかを把握できます。
もし、自分が見覚えのないデバイスや場所からのアクセスがあれば、第三者による不正アクセスが疑われます。
素早くパスワードを変更する
もし不審なサインインが確認された場合、すぐにパスワードを変更することが重要です。
新しいパスワードを設定する際に、簡単に推測されない、長くて複雑なパスワードを利用しましょう。
大文字、小文字、数字、記号を組み合わせた最低16文字以上のパスワードを設定することを推奨します。これにより、パスワードの推測やクラッキングが困難になります。
強力なパスワードを作成するための6つのポイントが以下の方法です。
- パスワードは16文字以上にする
- 大文字、小文字、数字、記号を組み合わせて使用する
- 辞書に載っている中で推測されやすい単語やフレーズを使用しない
- 連続した数字や文字を使用しない
- 個人情報(ペットの名前、自宅の住所など)を使用しない
- 他のサービスで利用している同じパスワードを使い回さない
MFAを有効にする
パスワードを変更し、次にやるべきことは、Microsoftアカウントの多要素認証(MFA)を設定していない場合は、MFAを有効に設定することです。
2段階認証とは、通常のパスワードに加えて、追加の確認コードを使用するセキュリティ機能です。
このコードは、通常、携帯電話に送られるSMSや認証アプリを通じて提供されます。これにより、パスワードが第三者に知られてしまった場合でも、その人物があなたのアカウントにアクセスするには、あなたのスマホや認証デバイスが必要になるため、第三者による不正アクセスをより低減することができます。
Microsoftアカウントでは、認証アプリ、SMSコード、セキュリティキーなどをはじめとした幅広いMFAに対応しているので、MFAを設定しておきましょう。
Microsoftアカウントを乗っ取られないように未然に防げる対策方法
Microsoftアカウントは他のサービスとも統合しているユーザーも多く、簡単にMicrosoftアカウントで他のサービスにもアクセスできることから、サイバー犯罪者に狙われやすいアカウントの1つです。
そこで、Microsoftアカウントが乗っ取られるのを未然に防ぐための効果的な対策を紹介します。
強力なパスワード設定
強力なパスワードを設定することは、Microsoftアカウントをあらゆるパスワード攻撃から守る方法として有効です。
簡単に推測されない、長くて複雑なパスワードを利用しましょう。
大文字、小文字、数字、記号を組み合わせた最低16文字以上のパスワードを設定することを推奨します。これにより、パスワードの推測やクラッキングが困難になります。このようなパスワードを効率的に作成し管理するためには、パスワードマネージャーの利用を推奨します。パスワードマネージャーは、強力なパスワードを自動的に生成し、それらを安全に保存してくれるツールです。これにより、複雑なパスワードを覚える必要がなくなり、ユーザーは一つの強力なマスターパスワードを記憶しておくだけで済みます。
Keeperのようなパスワードマネージャーはまた、脆弱なパスワードを監視してくれて、促すリマインダー機能を持っているものもあり、常にセキュリティ維持の手間を軽減します。
MFAを設定する
Microsoftアカウントに多要素認証(MFA)を設定することで、アカウントのセキュリティを一層強化できます。MFAを設定すると、サインイン時にパスワードに加えて、もう一つの認証要素が必要になります。これには、SMSで送られるコード、認証アプリによる確認、またはセキュリティキーの使用などが含まれます。
MicrosoftのLearnページでも述べられているように、MFAをアカウントに設定するだけでも、アカウントが侵害されるリスクは 99% 以上も低下します。
これにより、たとえパスワードが漏洩しても、追加の認証が必要になるため、サイバー犯罪者がアカウントにアクセスするのは、ほぼ不可能になります。
リンクや添付ファイルをクリックしないよう気をつける
フィッシング詐欺のメールやメッセージには、偽のリンクや危険な添付ファイルが含まれていることがよくあります。
これらをクリックしたり開いたりすると、偽サイトに誘導されたり、デバイスにマルウェアがインストールされたりする危険があります。URLの安全性を確認したい場合は、Googleが提供している透明性レポートを利用して、ここにそのURLを貼り付けることで、そのURLの安全性を確認することができます。
受信したメールやメッセージにリンクが含まれている場合は、そのリンクを直接クリックせず、ブラウザを開いて手動で公式サイトにアクセスするようにしましょう。
その際に、Keeperパスワードマネージャーに含まれる機能の1つである、KeeepFillのような自動入力補助機能がユーザーにとってとても効率的かつ安全性を向上させてくれます。
KeeperFillは、人工知能(AI)を活用してユーザーがアクセスしているウェブページやアプリ画面の種類と構造を認識し、ボルトの記録に全く同じURLが保存されている場合にのみ認証情報を入力します。 URLがフィッシングサイトのものである場合、KeeperFillはログイン認証情報を入力しないため、ユーザーは直ちにウェブから離れる必要が検知することができます。
ウイルス対策ソフトウェアを使用する
信頼できるウイルス対策ソフトウェアを使用し、常に最新の状態に保つことは、オンラインセキュリティの基本です。ウイルス対策ソフトは、マルウェアやスパイウェア、その他の脅威からデバイスを保護し、フィッシングサイトや危険なリンクを検出・ブロックしてくれます。また、リアルタイム保護機能を有効にすることで、常にデバイスが最新の脅威から守られるようになります。
フィッシングメールの手口を学ぶ
Microsoftアカウントを狙ったフィッシング詐欺の被害が巧妙かつ被害が増えているため、フィッシング詐欺の手法を見分けることが大切です。
特にフィッシングメールを通じて拡散します。これらのメールは、受信者に正規の組織や個人からのものと見せかけ、添付ファイルの開封やリンクのクリックを促します。不審なメールに警戒することは、フィッシングを通じたMicrosoftアカウントへの不正アクセスを防ぐ上で非常に重要です。
フィッシングメールを識別するためには、以下の点に注意することが推奨されます。
- メールの送信元を確認する
- 不審な点がないか検証する
- 予期しない添付ファイルやリンクが含まれている場合は開かない
- メールの文脈や表現に違和感がある場合は何度も確認する
これらの点を徹底して、確認しましょう。
Microsoft アカウントがハッキングされないように身を守ろう
Microsoftアカウントは、メール、ファイル、アプリ、そしてクラウドストレージなど、またSSOでの他のサービスアカウントとして連携していることも多いため、サイバー犯罪者に狙われやすいアカウントの1つです。
そのため、基本的なセキュリティ対策を徹底し、Microsoftアカウントを狙ったフィッシングメールに注意することが重要になります。
アカウントの管理が大変で難しいと感じているユーザーも多いかと思いますので、そこで活躍するのがKeeperパスワードマネージャーです。
Keeperパスワードマネージャーは、ボルトによくアクセスするサービスのアカウントを事前に登録しておくことで自動で公式サイトにログインすることを可能にし、フィッシングサイトを見分けることにも役立ちます。
また、Microsoft以外の各オンラインアカウントにも強力かつユニークなパスワードを設定し、管理を簡単にしてくれます。
この機会にKeeperパスワードマネージャーの30日間の個人版フリートライアルまたは、14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。
