SNSやYouTubeの乗っ取りを防ぐには? 覚えておきたい情報管理の基礎
どうやったら防げるのか?
アカウントの乗っ取りを防ぐには、IDとパスワードの安全性を高めるのが一番だ。まず大前提として、パスワードの使い回しは絶対にしてはいけない。それから、パスワードに使用する文字種はできるだけ3種類以上(パスワードには一般的に、半角アルファベットの小文字、大文字、数字、記号の4種類が使用できる)を使うこと。
攻撃者は辞書などを使ってパスワード候補を機械的に生成して攻撃してくるため、ランダムな文字列にすることでこれを防ぐわけだ。長さも、15文字以上あれば安全性がかなり高い。また、たとえば誕生日など個人の情報から推測できてしまう単語や数字は、パスワードに利用する人も多いため、SNS上ではできるだけ公開しないほうがいい。本当にささいな情報の組み合わせから、思わぬ情報に辿り着かれることもあるからだ。
とはいえ、複数の安全なパスワードを作って記憶しておくのは大変だ。こうした時に便利なのが、パスワードを自動生成し、記録しておけるアプリの存在だ。iOSやmacOSなら純正の「パスワード」に含まれる「Keychain」機能が、AndroidやWindowsなら「1Password」などのパスワード管理アプリを使えば、サービスごとに安全性の高いパスワードを自動生成し、記録しておける。それらのパスワードは1つのマスターパスワードで管理できるので、実際のパスワードを記憶する必要はない。
日本ではパスワードに使用できる文字数や文字種の関係上、設定を変更する必要があるサービスも多いのだが、それでも安全性と利便性を高める上で、強くお勧めできる。さらに二段階認証を含む多要素認証を設定し、パスワードだけではアクセスできないようにするのも重要だ(もちろん、SMSなどで送られてきた承認メッセージを無確認で簡単に承諾してはいけない)。
逆に、定期的にパスワードを変更することについては、あまり効果がないという指摘もある。使い回しせず、十分な長さでランダムな文字列のパスワードを使っているならば、漏洩を定期的にチェックして、漏洩したものだけを変更する程度で十分だろう。
つづいて、運用上で気をつけたい点について。SNSでは外部のアプリやサービスと連動させるためにアカウント情報を提供するケースがあるが、共有相手に悪意がある場合、不必要な情報まで抜かれたり、乗っ取りのために悪用されたりすることもある。連携はできるだけ信用できる相手だけにするべきだ。特に占いや診断系サービスは、誰が作っているかわからないので、できるだけ連動させないようにしたい。
また、企業の公式アカウントなどでは、投稿前に確認と承認を受けるべく、複数人でアカウントを共有しているケースがある。業務上仕方ない部分もあるが、情報漏れのリスクを減らすために、できるだけ関わる人を減らすといいだろう。
フィッシング防止策としては、不審なメールやDMのリンクをクリックしたり、添付ファイルを開いたりしないよう徹底すること。メールは送信者の名前ではなく、必ずメールアドレスを確認し、本当に正しい送信者かどうかを確認しよう。また、リンクも表示した文字列ではなく、巧妙に別のアドレスにリンクさせているケースがある。メール内のリンクはクリックせず、手動で使用しているサービスのWEBサイトに直接アクセスして確認するようにしよう。
このほか、SNSで発生している事例としては、友達になった人から電話番号やパスワード、PINを聞かれて答えてしまうというもの。有名人を装ったり、子供の頃の同級生を名乗ったりして相手に信用させ、言葉巧みに聞き出してくるというケースもあるようだ。冷静に考えれば教える必要は全くないし、そもそも有名人からメッセージが送られてくることなどないとわかりそうなものだが、つい引っかかってしまうのだという。家族や友人であったとしても、パスワードやPINを教えるのはNGだ。
冒頭でも述べた通り、アカウントの乗っ取りは個人、企業を問わずに発生している。個人アカウントももちろんだが、特に公式アカウントの乗っ取りは、企業や団体にとって直接的な被害だけでなく、ビジネス上の信頼をも失わせる危険性がある。絶対に避けなければならない事態なだけに、設定面と運用面の双方をチェックして、乗っ取り被害に遭わないように気をつけたい。
〈サムネイル写真:Pixabayより〉