まだYahoo!とか2段階認証しないで消耗してるの?

2015年10月25日

闇サイトに個人情報3万件 神奈川県警、悪用疑いで少年逮捕

いや、別に闇サイトとかどうでもいいんですが、驚くのはココ

追送検容疑は2月2日~3月19日、102回にわたり他人のID・パスワードで「ヤフオク」と「ヤフーショッピング」にアクセスした疑い。家具やゲームソフトを購入していたという。少年は他人に成り済ましてヤフオクにアクセスし、メールアドレスや商品の送付先を書き換えたとして、5日に不正アクセス禁止法違反容疑などで逮捕され、16日には詐欺容疑で再逮捕されていた。

Yahoo!のアカウントに侵入できたら、メルアドを変更してから商品買ったりヤフオクで落札できる。バレないようにそのあとまた元に戻したら発覚も遅くなる。自分に言わせると

入られる方がバカ

である。Amazonだといつもと違う住所に送らせようとするとカードを再入力しないといけないのでIDとパスワードが漏れても犯罪には使いにくい。楽天も以前侵入されて買い物されまくった事件があったが、ログインアラート機能を設定しておけばログインするたびにメールが飛ぶが、侵入されて買い物しまくられることは防げない。安全度はAmazon、Yahoo!と比較して低いが、リテラシー低い主婦がメイン顧客なので仕方ないのかもね。だって問い合わせとか殺到しそうだが、サポートはないも同然だし。

で、ヤフオク!だが、登録してあるクレジットカードで買おうとしてもセキュリティコードを入れるようになっているのに、どうやってこの少年は他人のカードで買えたんだろうか・・・

思いますに、スパイウェアに感染したパソコンでヤフオク!とかやると、入力したデータが全てブッコ抜かれて送信されてしまうから、それを集めてIDとパスと一緒に販売しているのではないかと予測する次第であります。セキュリティコードもね。

自分の家のパソコンがウイルス感染してることもあるだろうが、公共施設やホテルのインターネットコーナーの共用パソコンでFacebookとかやってる人もけっこういるよね・・・。大学の進学室のPCなんていかにも危なそうですぜ。誰でも使えるってことは、誰でもそういうのを仕掛けられるって事だ。
ネットカフェでそういうのがよく発覚するが、自治体とか大学なんて発見すらできないと思います。どうでしょうかこの推測は・・・

2段階認証をセットすれば、ほぼログインは防げる

こうした侵入にもっとも効果的なのが「2段階認証」でございます。
Googleの2段階認証アプリを使うわけですが・・

あまり知られていないが、2段階認証は複数のスマホでも管理できます。メインのスマホを紛失したときに死なないように、自分は予備のスマホにも入れてる。バックアップコードを印刷して財布に忍ばせるかEvernoteに保存してEvernoteも2段階認証する。

IMG_2196
このシステムでは30秒に1回、新しいパスワードが生成される。このパスワードは登録してある所有者のスマホに紐付いているので、同じ時間ではほかのスマホに同じ数字は現れない。よってほぼ確実に不正ログインを防止できるのであります。

この2段階認証は
Google
Microsoft
Dropbox
Evernote
Facebook
(Facebookはスマホアプリのコードジェネレーターとの選択)
Wordpressのブログ
等々
にもつかえる。というより・・

それぞれ絶対に設定しておくべきもの

なんである。Twitterはいつもと違う端末からログインしようとすると「ログインリクエストを認証」するようにセキュリティから設定していると、メインのスマホで認証しないとログインできなくなる。メインのスマホをなくしたらPCからログインして設定外してください。www

LINEは PINコードを入れるのを2段階認証としているが、あれはGoogleの2段階認証のように強固なシステムではない。Googleのは30秒ごとに新しいコードが生成されるので、本人が持っているスマホがないとログインできないが、LINEの場合、ログインしたPC(PCからもログインできるからさ)にスパイウェアが入っていたらPINもパスワードも抜かれるわな・・こちらもリテラシーが低いユーザーが多いので本格的な2段階認証は導入できないのではないか。

Yahoo!の場合、このページから

スクリーンショット 2015-10-25 11.46.06
ワンタイムパスワードを選んでログインして「メールで受け取るか」「アプリで生成するか」を選択するわけだが、アプリのほうが安全です。楽天のようなログインアラート機能もあるが、そもそもログインできないようにしておける2段階認証のほうがよほど安全。

FacebookやTwitterのアカウントを乗っ取られたら大恥はかくけど、実害はでない。だがショッピングサイトは高額な買い物されると多額の実損が出ます。Evernoteも保存しているメモによっては同様だし、Dropboxも同様。写真とか大流出の可能性もある。

また上のアプリは使用しないが、Appleアカウントは絶対に2ステップ確認を有効にするべき。詳細はこちら

自分はよく「リテラシー低い」とか「情報弱者」って言葉を使うけど、2段階認証や2ステップ認証を設定してない人は、間違いなくリテラシーが低い人です。これは間違いない。不正ログインするヤツも悪だが、戸締まりしないででかけるほうもうすらバカです。

ここから話変わります。思うんですけどね。企業で「情報流出」を懸念するあまり、社員ノートパソコンに鎖まで付けて持ち出し禁止にしていた某楽天とかもありますが、電車の中でパソコン無くしたり、家でメールが取れない(会社のメールサーバにログインできない)とか、作業させないのであれば、Chromebookを導入して、Googleのアカウントを2段階認証させたほうがよほど安心だと思うんですよね。会社のオリジナルドメインのメルアドはGoogle Appsにして2段階認証にするわけさ。わたしのlanderblue.co.jpのメルアドもGoogle Appsです。社員が退職したらアカウント削除するだけでいままでの資料とか全く見られなくなります。

ChromebookはGoogleのアカウントでログインするので、パソコン無くしたと思ったら速攻でスマホとかからパスワードを変えてしまうと誰も絶対にログインできなくなります(変えなくてもだけど念のためだ)。顧客データとかもクラウドだし、写真もファイルもパソコンの中にはない。情報流出を懸念するならChromebookがいちばん安心なんですけどね・・
安いしサクサクだし・・・

子供に買い与えてもゲームはダウンロードできないし、遊びにはなかなか使いづらい。ネットサーフがメインになるから学生向きですよ。軽いしサクサクだしね。ただネットにつながってないとタダの箱ですが・・家にWi-Fiがあるなら子供用はコレです。アメリカの学生はこればっか。

  • 0
    このエントリーをはてなブックマークに追加
  • 0
    follow us in feedly
PAGE TOP