モデルの押切もえさんら、芸能人4人のスマートフォンに不正にアクセスし、メールなどをのぞき見したとして、警視庁は30日、日本経済新聞社デジタル編成局所属の社員寺井淳容疑者(29)を私電磁的記録不正作出・同供用と不正アクセス禁止法違反の疑いで逮捕したと発表した。朝日新聞などが報じている。
逮捕容疑は2014年12月、押切さんのメールを設定するサイトに不正アクセスし、パスワードを勝手に変更。データ共有サービス「iCloud」やメールなどを勝手に見た疑い。また元NMB48の渡辺美優紀さんら3人のiCloudものぞき見したという。
このような事件は、5月にも長澤まさみさんや北川景子さんらのFacebookなどをのぞき見たとして長崎県の会社員が逮捕されている。こうしたリスクからどのように身を守ればよいのだろうか。Facebookの不正アクセス対策について、Webのセキュリティに詳しいエンジニアである齋藤実氏がAll Aboutの『Facebook写真が覗き見される?不正アクセスを防ぐには』で次のように解説している。
**********
不正アクセスをブロックする方法
FacebookなどのSNSやiCloudといったクラウドサービスなど、ネットを介したサービスのほとんどは不正アクセスや乗っ取りのリスクを抱えており、実際に事件は相次いでいる。齋藤氏はIDとパスワードだけの認証では被害が後を絶たず、ほとんどのサービスで新たな認証方法が導入され、提供されている。
その具体的な認証方法には以下のようなものがある。
■ログインできるデバイスを予め登録して固定する
ログインできるデバイスを予め登録して固定してしまう、というもの。FacebookもiCloudなどで導入されている。もし仮にパスワードが漏えいしても、未登録のデバイスからはログインできない。とても強力で、この認証方法を使っていないという場合は、すぐに登録してほしいと齋藤氏は述べる。
■知らないデバイスがログインを試すとメール通知
FacebookもiCloudでも導入されている、知らないデバイスがログインを試すと登録してあるメールへ通知してくれる、というもの。危険を速やかに察知できれば、いたずらされる前に対処することができる。
上記の新しい認証方法は、設定するだけで済むためとても楽に利用でき、強力に不正アクセスをブロックしてくれる。
パスワードはしっかり管理
一方、新しい対策だけに意識が集中してしまってパスワードがおざなりになるのも危険だと齋藤氏は警鐘を鳴らす。
そもそも、認証の核となるのはパスワード。もしログインできるデバイスが固定されていても、そのデバイスが遠隔操作系のウイルスに感染してしまえば意味がない。そのアカウントを守る最後の砦はパスワードだけになる。
「もしパスワード管理に不備不足があれば想定できない理由から被害に遭ってしまう恐れもあります。たとえば、使い回したパスワードが漏えいしてしまえば、乗っ取り解除の手続きなどの例外的なアプローチから攻撃が成功してしまうかもしれません。パスワードをしっかり管理するということはとても大切です」
パスワードの管理方法
パスワードの管理に関しては以下のポイントが大事だという。
- 同じパスワードをいろいろなサービスで使い回さない(サービスごとにパスワードを設ける)
- 推測可能な弱いパスワードを使わない(意味を持たないランダムな大小英数字及び記号のパスワードを使う)
- パスワードを使うデバイスにはウイルス対策ソフトを使う
- 誘導によるパスワード入力などは疑い、騙されないようにする(SNSでのフィッシング詐欺被害を防ぐ)
ちなみに、サービスごとに強力なパスワードを使うとなると、記憶するのは難しい。Excelで管理するなど、自分に合い、かつ作業ミスのないパスワード記録の方法を選択するのがポイントだ。
OpenIDという新時代が広がりつつある
なお、パスワードはOpenIDという新時代が広がりつつあるという。OpenIDとは、関所の通行手形みたいなもので、たとえばYahoo!でログインして関所を通過すれば、その通行手形で他のサイトでも出入り自由になり、パスワードひとつで、さまざまなサービスを利用できる。
齋藤氏は「パスワードの変更といったメンテナンスも考えれば、きちんと管理できる件数には限界があるはず。パスワードが手に負えないくらい限界にまで増えてしまう前に、OpenIDのインフラ整備が進むことを期待します」と述べている。
【関連リンク】
