読者です 読者をやめる 読者になる 読者になる

Ich lerne Ruby on Rails for Africa

Railsとアフリカとkintoneで苦戦するブログ

確認しておきたい!GmailとFacebookのセキュリティ。

GmailとかFacebookのセキュリティってどれぐらい意識してますか?

最近、身の回りでFacebookが乗っ取られた人が居ました。
事実だけ見れば、自分が利用しているSNSが一つ使えなくなった程度。しかし、考えてみれば、どれかSNSを乗っ取れば主に利用しているメールアカウントが分かってしまえば恐ろしいもので、メールアドレスになんか送ってごにょごにょして、どうにかしてどうにかするとクレジットカードの情報までたどり着いたりするんですよね。おー怖い怖い。

で、アカウントの乗っ取りなどを防ぐ為に最低限これだけはしたいな、というのを紹介したいと思います。
もちろんこれだけでは足りないと仰る方も居るとは思いますが、まぁ最低限の最低限ぐらいで暖かく見ていただけると良いと思います。

●共通

  • パスワード
  • 定期的なパスワードの変更
  • 情報に対する認識

Gmail

  • 2段階認証
  • なりすましに注意

Facebook

  • 2段階認証
  • 不審なセッションの確認
  • 公開範囲
  • 知らない人からの申請


f:id:sugi511:20130222020151j:plain

●共通編

▼パスワード

パスワードに名前や生年月日は含まれていませんか?全部小文字とか全部大文字とかじゃないですか?数字は含まれていますか?

推測されない無意味な文字列にして、大文字小文字を織り交ぜて長くするのが理想的なのは分かるんですが、どうしてもこんなの覚えきれないし、紙にメモっちゃだめなんて言われるし、どうしたことやら・・・。
理想的なパスワードを作るのは難しいからと諦めると、すぐにバレてしまいます。
ベストを目指して挫折するぐらいなら、まずはベターなパスワードから始めましょう。

6 つの手順に従って強力で覚えやすいパスワードを作成する。」というのが以下の記事に載ってるので参考にしてみてください。
<208> 強力なパスワードの作り方と使い方(1 / 2)

また、強力なパスワードが出来ても、使い回してると意味がないので、なるべく分散させましょう。

▼定期的なパスワードの変更

昔に設定してからパスワードをずっと変えてない。そんなことありませんか?
パスワードの定期変更は、昔の名残だーという話も結構あったりします。が、たまたま手の動きを見られたりしてアカウントに不正アクセスされたりすることもあるので、やはり定期的に変更することは、長期的な乗っ取りなどを防ぐ意味でもしておくべきだと思います。

パスワードの定期変更は「神話」なのか?

▼情報に対する認識

GmailFacebookTwitterなどの登録情報を確認してみてください。
余計な情報は書いていませんか?
オンラインに情報を載せるということは世界中の誰でも見れる可能性があるので、出来る限り本人を特定出来るような情報は書かないでおきましょう。(顔出し、本人であることがメリットがあるときは、リスクがあることを理解してれば、自己責任ということで。)


Gmail

▼2段階認証

Gmailで2段階認証というのは有効にしてますか?

普段、Gmailにアクセスするときはユーザー名とパスワードを入れてログインしてます。
しかし、これだけだとパスワードがバレてしまうと一発で乗っ取られてしまいます。
これを防ぐのが2段階認証というやつです。

簡単に言うと、普段使ってないパソコンや携帯からアクセスする時に、
ユーザー名とパスワードに加えて、携帯電話に送られてくる秘密のコードがないと入れなくなります。

つまり、パスワードがバレても乗っ取られる可能性が低くなるわけです。
有効にしてない人は有効にしましょう。

やり方はこちら。
Googleアカウントへ2段階認証の導入
無断でメール送信! 乗っ取られたGmailを2段階認証で守る技

iPhoneなどのスマホでGmailなどを使っている方はアプリケーション固有のパスワードの設定をする必要があります。

▼なりすましに注意

誰かがアカウントを乗っ取られたりした場合、突然URLだけのメールが送られてきたりします。そういったURLの先には、マルウェアが仕込まれていたりするのでクリックをするのをためらってください。何の連絡もなく怪しいURLが送られてきたら、一度落ち着いて、送り主に返信するなり、電話するなりして確認しましょう。

Twitterではダイレクトメッセージで、「I saw a real bad blog about you, you seen this? http://なんちゃらかんちゃら」ってメッセージが送られてきたことがありませんか?これがなりすましです。英文なので怪しすぎてクリックはしないですが、このスパムの日本語バージョンが出来たら怖いですよね。

以下のサイトでリンク先をある程度チェック出来ます(100%ではないので悪しからず)
aguse


また、いわゆるフィッシング詐欺もあります。例えば、mixiやyahoo、銀行などを装って、「〇〇を変更してください」のような文面とともにURLがメールで送られてくる。そして、アクセスをすると本物と同じログイン画面。ついついいつものようにログインしたくなるんですが気をつけてください。基本的に、運営側からメールでそんな大事なことは送られてこないということを頭において疑ってください。

メールアドレスの送信元をとりあえず偽装するのも、難しくないし、ホームページを作れるエンジニアなら、全く同じログイン画面を作成するのは簡単だし、打ち込まれたパスワードを自分のところに送信するのも、その後何事もなかったかのように動作をさせるのもそれほど難しくありません。

フィッシング詐欺の手口

▼セキュリティチェックリスト

こんなセキュリティチェックリストもあるのでぜひ100%になるようにチェックしてみてください。
Gmail セキュリティチェックリスト

Facebook

Facebookは実名登録してる人も多いと思います。セキュリティを見直してみましょう。
Facebookセキュリティ設定 不正ログインを防ぐ方法

▼2段階認証

Gmailで紹介した2段階認証とほぼ同じものと思っていただいて構いません。
この機能を有効にしておくことで、認証のない機器からのアクセスを排除出来るし、誰かがアクセスしようとしたことが通知されるので非常に便利です。

facebookを利用する際に使用出来る機器を限定するための設定方法

▼不審なセッションの確認

アカウント設定 > セキュリティ のところに「進行中のセッション」というのがあると思います。これは、どの端末から、どこからアクセスしたかという情報が記憶されています。自分はWindows使ってるのに、Macからログインがある、東京には行ってないのに東京からアクセスがある!など不審なセッションがあるときは、右側の終了を押しましょう。

▼公開範囲

公開範囲はきちんと設定していますか?意図してないのに、世界中に公開されてるなんてきついですよね。
これも見直しましょう。特にプロフィールのどれが見えて見えないか、というのを見直しましょう。
Facebookのプロフィールには電話番号を追加出来るんですが、メールアドレスよりも怖いので僕はそもそも情報として載せてません。

▼知らない人からの申請

f:id:sugi511:20130222035810p:plain

僕は今モテ期来てます!!


知らない人からの申請を承認していませんか?
「お?知らない人からだけど、可愛い女の子だし、承認しーちゃお」なんてことやってませんか。
これはスパムアカウントで、情報抜く為に存在してたりするのでバッチリ無視しちゃいましょう。

Facebookで可愛い女子から友達申請が来たら9割はスパム

●最後に

セキュリティというやつは、どこまで頑張ってもパーフェクトにはならないと思ってるので、どこまでやるんだって問題は常につきまとうんですが、ベストを目指すのはきついのでそこそこベターなところを目指したいと思ってます。
人の敵はやはり人なわけで、様々な方法でパスワードの壁を破ろうとしてきます。ショルダーハック(肩越しに覗き見)なんて技もあるので、気をつけてくださいね。紙にパスワード書いてパソコンのモニタに貼るとか御法度ですよー。

ノシノシ