ポイントを不正利用されるかも!?IDとパスワード乗っ取りに遭わないための対策法
皆さん、こんにちは。ウイルスバスター@トレンドマイクロです。
昨今、様々なアプリやWEBサービスが登場していますが、サービス毎にアカウントを作成して利用する場合がほとんどです。管理も煩雑となり、パスワードを使いまわしてしまっている方も多いのではないでしょうか。
そのような行為は、サイバー攻撃者によるアカウント乗っ取りの機会を与えかねない、とても危険な行為です。
第5回となる今回は、アカウント乗っ取りの手口とその対策について解説したいと思います。
〜 本文は省略されました 〜
ゆりこネット@2025年遠征少なめさんのコメント
続き。
>【2. 複数のサービスで同一のID/パスワードを使い回さない】
パスワード管理ツールを使うのはよい習慣ですね。自社ツールを宣伝するのは許容範囲ですが、macOSやiOSではOS標準の「キーチェーン」で十分だと思います。
>【3. IDとパスワードの入力を求めるメールには詐欺の可能性をうたがう】
「ほぼ詐欺と疑って構いません」ぐらいの口調でもよいと思います。パスワード流出やアカウント乗っ取りされた場合は、普通はパスワードリセットの手続きを踏ませることが多く、使用中のパスワードを入力させることはまずありませんよね。
中級者なら「ToやCcに他人のアドレスがいっぱい入っているのは変」という気付き方もあるでしょうが、本記事ではそこまで求めなくていいでしょうね。
>【4. IDとパスワードを入力するサイトではアドレスバーを確認する】
アドレスバーの確認をさせることはよいことですね。ただし、SSLの鍵マークがあれば安心ということはありません。近年は詐欺サイトでもSSLで構築されることがあります。
このため、アドレスバーのドメイン部分が正規のドメインかどうかを確認することが必要です。例えば、mineoのサイトなら、最初のスラッシュの直前が「mineo.jp」であるかどうかです。
https://king.mineo.jp/
はOKです。他の部分にmineo.jpがあっても意味がありませんので、
https://mineo.jp.example.com/
だとダメなわけです。
他には、mineo.??? のようなオプテージ以外の第三者が取得したドメインを使っていれば「本物ではない」と判断できます。ただし悪意があるドメインかどうかは分かりません。
例えば、mineo.com は実在しますが、取得者がオプテージと関係あるのか、どういう目的で取得したのかは不明です (峰夫さんが取得したのかもしれない)。
>【2. 複数のサービスで同一のID/パスワードを使い回さない】
パスワード管理ツールを使うのはよい習慣ですね。自社ツールを宣伝するのは許容範囲ですが、macOSやiOSではOS標準の「キーチェーン」で十分だと思います。
>【3. IDとパスワードの入力を求めるメールには詐欺の可能性をうたがう】
「ほぼ詐欺と疑って構いません」ぐらいの口調でもよいと思います。パスワード流出やアカウント乗っ取りされた場合は、普通はパスワードリセットの手続きを踏ませることが多く、使用中のパスワードを入力させることはまずありませんよね。
中級者なら「ToやCcに他人のアドレスがいっぱい入っているのは変」という気付き方もあるでしょうが、本記事ではそこまで求めなくていいでしょうね。
>【4. IDとパスワードを入力するサイトではアドレスバーを確認する】
アドレスバーの確認をさせることはよいことですね。ただし、SSLの鍵マークがあれば安心ということはありません。近年は詐欺サイトでもSSLで構築されることがあります。
このため、アドレスバーのドメイン部分が正規のドメインかどうかを確認することが必要です。例えば、mineoのサイトなら、最初のスラッシュの直前が「mineo.jp」であるかどうかです。
https://king.mineo.jp/
はOKです。他の部分にmineo.jpがあっても意味がありませんので、
https://mineo.jp.example.com/
だとダメなわけです。
他には、mineo.??? のようなオプテージ以外の第三者が取得したドメインを使っていれば「本物ではない」と判断できます。ただし悪意があるドメインかどうかは分かりません。
例えば、mineo.com は実在しますが、取得者がオプテージと関係あるのか、どういう目的で取得したのかは不明です (峰夫さんが取得したのかもしれない)。
