050-3066-5475
(平日9:00~17:30受付)
サイバー攻撃の侵入を前提とした多層防御ソリューション。クラウドでセキュリティ対策強化と管理の手間やコストを削減。
ウイルスバスタービジネスセキュリティサービスあんしんプラス
社内外の業務用デバイスを一元管理できるサポート付きのウイルス対策サービス。テレワーク環境でも高い防御力を実現します。
LANSCOPE あんしんプラス
IT資産管理や内部不正等を把握する、エンドポイントマネジメントサービス。リスクをリアルタイムに検知し、対策を支援します。
あんしんプラスFit
リスクの見える化からインシデント対応まで、必要な機能と運用サポートを組み合わせたサービス。企業の健全なセキュリティ対策を支援します。
サーバセキュリティあんしんプラス
サーバ保護に必要なセキュリティ機能をオールインワンで実現。物理・仮想・クラウド環境のサーバを統合的に守ります。
Cloud Edge あんしんプラス
ウイルス対策や標的型攻撃対策など幅広い機能を搭載したゲートウェイ対策サービス。巧妙化する脅威から大切な情報を守ります。
Email Security R2 あんしんプラス
メールに特化したセキュリティサービス。悪意あるメールを届く前にブロックし、メールからの脅威を防御します。
Web Security あんしんプラス
Webアクセスに特化したセキュリティサービス。インターネットからの脅威を防御すると共に、Webアクセス・アプリケーションの制御が可能です。
Deep Discovery Inspector
あんしんプラス
従来の対策では気づけない標的型攻撃の早期検知・分析・対処までを専門家がサポート。日々のセキュリティリスクを軽減します。
インターネットサービスのアカウントを不正利用される被害が相次いでいます。サイバー犯罪者はさまざまな方法で他人のIDとパスワードを盗み出したり、探り当てたりしてサービスに不正アクセスし、金銭や情報を不正に取得しようとしています。第三者によるアカウントの不正利用を防ぐための6つの自衛策を紹介します。
SNSやクラウドストレージ、ショッピングサイト、ネットバンキングなど、ほとんどのインターネットサービスにログインするときはパスワード認証が求められます。これは、ログイン時に利用者本人だけが知るIDとパスワードを入力することで認証を得る方式です。
ただ、パスワード認証は必ずしも安全とは言えなくなっています。IDとパスワードを第三者に盗まれたり、探り当てられたりしてしまうと認証を破られてしまうためです。
実際、IDとパスワードをだまし取られ、各種インターネットサービスのアカウントを不正利用される被害が後を絶ちません。その手口の最たるものがフィッシング詐欺です。このほか、アカウントを乗っ取る手口にはプログラムによってパスワードに使用できる文字種の組み合わせを片っ端から試していく総当たり攻撃もあり、IDとパスワードだけで本人か否かの認証の精度を担保することは難しくなっています。
金融機関などの高いセキュリティが求められるインターネットサービスを中心にパスワード認証の弱点を補完する認証方式の採用が進んでいます。どのようなものがあるか見ていきましょう。
二要素認証は、2つの異なる認証の要素を組み合わせることで本人認証の精度を高める方式です。認証の要素は、「記憶」「所持」「生体情報」の3つに分類されます。3つの要素を組み合わせる方式は「多要素認証」と呼ばれます。
記憶:本人のみが知っている情報によって利用者を認証します。パスワードやPIN、秘密の質問(「母の旧姓は?」「出生地は?」「ペットの名前は?」など)の回答などがこれにあたります。
所持:本人のみが所持している物によって利用者を認証します。ICカードやキャッシュカード、乱数表、トークン(一定時間おきに変更され、一度しか使えないワンタイムパスワードを生成する機器)などが該当します。スマホをトークンとして使用する場合は、SMS(ショートメッセージサービス)や認証用アプリなどで取得できる認証コードを入力します。
生体情報:本人の身体的特性にもとづく情報によって利用者を認証します。指紋や顔、静脈パターン、虹彩などがこれに該当します。
多くのネットバンキングなどの金融系Webサービスでは、記憶と所持の2つの要素を組み合わせた二要素認証が採用されています。送金などを行う際はIDとパスワードだけでなく、乱数表で指定された枠内の英数字や、事前に登録したスマホなどで取得できる認証コードの入力も必要になります。そのため、第三者によるログインはIDとパスワードのみの認証方式と比べて難しくなります。
リスクベース認証は、普段と異なる IP アドレスや OS 、Web ブラウザから認証要求(IDとパスワードによるログイン)があったときなど、第三者による不正アクセスのリスクが高いと判定された場合のみ追加の認証を求める方式です。追加の認証方法としては、あらかじめ設定された秘密の質問への回答を求めたり、事前に登録されたデバイスに届く認証コードを入力させたりするなどのパターンがあります。
Apple IDでは、記憶と所持の2つの要素を組み合わせた2ファクタ認証を提供しています。リスクベース認証も採用しており、新しく購入したデバイスではじめてAppleのサービスにログインした場合のみ、事前に登録したスマホなどで取得できる認証コードの入力が必要になります。信頼できるデバイスに追加されると、次回以降のログイン時に追加認証を求められることはありません。
フィッシング対策協議会が2019年2月、何らかの個人認証を実施しているインターネットサービス事業者(10業種・308名)を対象に行ったアンケート調査では、76.9%がパスワード認証しか行っていないことがわかりました。一方、二要素認証やリスクベース認証を採用していると回答したインターネットサービス事業者は21%にとどまり、複合的な認証方式の採用に遅れが見られます。
インターネットサービス提供事業者に対する「認証方法」に関するアンケート調査結果
https://www.antiphishing.jp/news/pdf/wg_auth_report01_20190701.pdf
このため、インターネットサービス利用者は第三者によるアカウントの不正利用を防ぐための自衛策を講じることが必要です。そのポイントを確認しておきましょう。
詐欺の手口や狙いを知ることは、自衛策の基本です。たとえば、メールやSMS、SNS内のURLリンク、ネット広告などからたどり着いたWebサイトで何らかの情報入力を促された場合、フィッシング詐欺の疑いが濃厚です。認証用アプリも必ずGoogle PlayやAppStoreなどの公式ストアから入手してください。日頃からセキュリティ事業者や関連団体などが公表する注意喚起情報に目を通しておきましょう。
フィッシング対策協議会
https://www.antiphishing.jp/
警視庁サイバーセキュリティ対策本部
https://twitter.com/MPD_cybersec
サイバー犯罪者は、フィッシング詐欺などにより不正に入手した認証情報(IDとパスワード)をリスト化し、それらを用いて各種サービスへのログインを試みます。このため、複数のサービスに同一のIDとパスワードの組み合わせを使い回していると、アカウントを芋づる式に乗っ取られるリスクを高めてしまいます。メールアドレス以外をIDとして使用できる場合は、固有の文字列に変更しておきましょう。
利用するインターネットサービスが増えれば増えるほどパスワードの管理が煩雑となるため、第三者が容易に推測できる単純なパスワードを設定しがちです。さらに、サービスの中にはアルファベットの大文字、小文字、数字、記号などの文字種のランダムな組み合わせや、長い文字列をパスワードとして設定できないものもあります。設定できる可能な範囲で、サービス毎に第三者に推測されにくいパスワードを設定するように心がけてください。自身での管理や設定が難しい場合は、固有のパスワードを自動で作成、管理してくれるパスワード管理ソフトを利用するのも一案です。
セキュリティを考慮して設計されたインターネットサービスを優先的に利用しましょう。クレジットカードなどの重要な情報がひもづくサービスでは、二要素認証やリスクベース認証といった不正ログイン対策などを利用できることが望ましいでしょう。同様のサービスが複数あった場合は、サービス内容に加え、セキュリティを強化するための取り組みについても比較した上で選択してください。
自分以外も利用する可能性のあるデバイスでサービスの利用を終えたら、必ずサービスからログアウトしましょう。ログインしたままにしていると、第三者にアカウントを不正利用されるリスクが高まります。また、悪意のある第三者以外にも、家族が無断で利用し、トラブルに発展する場合もあります。不要なトラブルを回避するためにも、ログアウト、あるいは決済時に認証が必要になる設定に変更しておきましょう。また、Google ChromeなどのWebブラウザは、IDやパスワードの入力欄(フォーム)などに一度入力された文字列を保存する機能を備えています。これを無効にし、Webブラウザにすでに保存されているパスワードも削除しておきましょう。
このような対策は、デバイスの紛失や盗難時にも有効です。自分だけが使っているデバイスでも、金銭や個人情報がひもづく重要なサービスでは、できるだけ都度ログインするように心がけましょう。
使わなくなったサービスをそのまま残していても不正利用や情報漏えいのリスクになるだけです。クレジットカードや銀行口座などの金銭がらみの情報や個人情報を削除、あるいはダミーの情報を上書きした上でサービスを解約しましょう。
※不審な取引を見つけたら…
クレジットカードの利用明細やショッピングサイトの購入履歴、決済アプリの利用履歴などを定期的にチェックすることも大切です。万一、身に覚えのない不審な取引を確認した場合、直ちに各窓口に速やかに届け出をし、損害を拡大させないようにしましょう。
050-3066-5475
(平日9:00~17:30受付)
更新日:2019年11月27日
法人向けセキュリティ対策なら
「あんしんプラスシリーズ」にお任せください。
社内外の業務用デバイスを一元管理できるサポート付きの法人向けウイルスバスター。
IT資産の安全な運用管理や内部不正等を把握するエンドポイントマネジメントサービス。
リスクの見える化からインシデント対応まで。必要な機能と運用サポートを組み合わせた統合エンドポイントサービス。
物理、仮想、クラウド環境のサーバ保護に必要な機能をオールインワンで実現。
ウイルス対策や標的型攻撃対策など幅広い機能を搭載した中小企業向けUTM(統合脅威管理)。
悪意あるメールを届く前にブロックする、メールに特化したセキュリティサービス。
ネットからの脅威を防御し、Webアクセスの制御も可能なWebに特化したセキュリティサービス。
従来の対策では気づけない標的型攻撃の早期検知・分析・対処までを専門家がサポート。