【ポイントは4つ】PCやスマホで情報漏洩を起こさないために身に着けておきたい知識とは

まろん

PCやスマホから情報漏洩ってどうすれば防げるワン?

今回は、そのような疑問にわかりやすくお答えいたします。

こんな人におすすめ

  • 情報漏洩を起こさないために絶対に抑えておきたい知識を知りたい
  • 初心者向けにわかりやすい例で教えて欲しい

本記事の内容

  • 攻撃者がまず狙ってくるのは何か?
  • 攻撃者から身を守るために抑える4つのポイント

私はセキュリティの専門家として働いており、研修講師をしていたりもします。

そんな私が、一般の方にて抑えておくべき知識を伝授していこうと思います。

本記事の執筆者

まひろ(@aokaze_mahiro

本記事の結論

攻撃者が狙うのは「認証の突破」と「脆弱性の悪用」です。

認証の突破には、パスワードの複雑化し、パスワードの使いまわしを避け・2段階認証を導入することが有効です。

脆弱性については、常に最新バージョンにアップデートをすることで対処可能となります。

まひろ

では、解説していきますね

目次

【超重要】攻撃者が狙う「認証の突破」とは何か

認証とは、通信している相手が本人かどうかを確認する手段を指します。

もっと簡単に言うと、

まひろ

あなたはホントにまひろですか?

というのをIDやパスワードを用いて確認(認証)をしています。

攻撃者目線で例をいくつか挙げてみましょう。

まず、情報漏洩について考えたとき端末利用者(被害者)と攻撃者がいるわけです。

例えば、攻撃者があなたのTwitterのアカウントを乗っ取りたいとしましょう。

まひろ

アカウントを乗っ取るためには何が必要?

まろん

TwitterのIDとパスワードがあればいいワンね

次に、クレジットカードの情報を得て、支払いをしたい場合を考えましょう。

まひろ

クレカで支払いをするには何が必要?

まろん

カード番号とセキュリティコード、あといつまで使えるかの年月日ワン

この2つの例に共通しているのは、

認証情報の取得

ですよね。

もっと言うならば、認証情報を取得し、その情報でサインインされてしまうことを認証を突破するといったりします。

そして、攻撃者はこの「認証の突破」をまずは狙ってきます。

だってアカウントを乗っ取りさえしてしまえば、何でもできてしまいますからね。

脆弱性を悪用されて情報漏洩するとはどういうことか

最近のニュースでは「脆弱性」という言葉が多く使われるようになってきました。

脆弱性をつかれて不正アクセスをされました的なアレです。

まろん

そもそも脆弱性という言葉って何ワン?

まひろ

だよね、説明していくよ

脆弱性とは?意味を分かりやすく解説

脆弱性(vulnerability)とは、コンピュータのOSやソフトウエアに存在する、セキュリティ上の欠陥のことです。

もっと簡単に言うと、

まひろ

放置するとやばい抜け道みたいなものです

簡単な例で例えてみましょう。

虫くんがお菓子袋の内側に入りたいとします。

普通であれば封が閉じてて中に入れないのですが、穴が空いているようです。

虫くんはその穴から中に入って、こっそりとお菓子を食べてしまいましたとさ。

この例をITに例えるとこうなるのです。

虫くん(攻撃者)は穴(脆弱性)からお菓子袋(PCやスマホ)の内側に入り込み、お菓子を食べる(攻撃)ことを成功させた

ITの世界では、PCやスマホに入られて悪意のあるプログラムとかを実行されたら、情報漏洩が起きてしまいます。

攻撃者は、その入口として脆弱性を悪用しようとするのです。

これを回避するにはどうすればよいのかという話を次にしていきます。

「認証の突破」や「脆弱性への攻撃」を回避する4つのポイント

ここまで、攻撃者が狙うのは「認証の突破」によるアカウントの不正利用と脆弱性への攻撃と語ってきました。

これらを防ぐために最低限守った方が良い4つのポイントは以下です。

  • アカウント不正利用の対策には安全なパスワードを設定する
  • 他サービスでパスワードを使いまわすことをしない
  • 二段階認証を導入する
  • 脆弱性への攻撃の対処法はOSやサービスのアップデート適用

意識すればすぐに取り組めるので、ぜひ検討してみてください。

まひろ

詳しく解説していきますね

アカウント不正利用の対策には安全なパスワードを設定する

昔から言われていることですが、現代でもやっぱり有効です。

まろん

そもそも安全なパスワードって何ワン

安全なパスワードとは、総務省からの情報によると以下が該当します。

  1. 名前などの個人情報からは推測できない
  2. 英単語などをそのまま使用してない
  3. アルファベットと数字が混在している
  4. 適切な長さの文字列である
  5. 類推しやすい並び方やその安易な組合せにしない
まろん

ということは、「maron20210101」はやばいワン?

まひろ

うん、「名前+日付」はあまり良くないね

安全なパスワードの条件を踏まえると、以下は設定しない方が無難です。

  • 自分や家族の名前、ペットの名前(mahiro、maron)
  • 生年月日、住所、車のナンバー(20210105、chiba、8954)
  • 辞書に載っているような一般的な英単語(password、baseball、soccer)
  • 同じ文字の繰り返し(aaaa、00000)
  • わかりやすい並びの文字列(abcd、12345、200、abc123、asdfやqwertyといったキーボードの配列)
  • 短すぎる文字列→ab、kj
まろん

混乱してきたワン。結局どういうパスワードがいいワンよ

具体的な指標を出すなら、以下の感じでしょうね。

  • 12文字以上の長さにする
  • 大文字、小文字、英数字混在、記号アリ
  • 名前や日付等で推測されやすい文字列は避けて、ランダムにする

ちなみに、自分で考えるのがめんどくさいという方はこちらのサイトにて自動生成が可能です。

他サービスでパスワードを使いまわすことをしない

まろん

1つ安全なパスワードがあれば、それでよくないワン?

たしかにそう考える人は多いでしょう。

ただ、攻撃者の視点に立ってみると、パスワードの使いまわす危険がわかります。

まひろ

仮にまろんくんが私のTwitterにログインできたら次はどうする?

まろん

同じパスワードでFacebookやインスタに入れないか試してみる気がするワン。あっ…

攻撃者は、仮にログインできましたとなったら、次は同じIDやパスワードで別のサービスにログインできないかを試すのです。

複数のSNSやクレカサイトやサービス等で同じパスワードを設定していた場合、1か所でばれたら芋づる式にすべてアウトになりかねないのです。

まろん

でも安全なパスワードを毎回考えるのって大変だし、覚えられないワン

まひろ

分かる。そういう方には「パスワード管理ツール」がおすすめ

私が実際に使っているパスワード管理ツールは別記事にて詳細を解説しております。

余談ですが、少し前まで(2017年)は

まひろ

定期的にパスワード変更するのが安全!

と推奨されてましたが、2021年現在は推奨されていません

というのも、

  • 定期的な変更によってパスワードの作り方がパターン化し簡単なものになる
  • 使い回しをするようになる

ことの方が問題視されたからです。

パスワードを破られアカウントが乗っ取られたり、サービス側から流出してなければ、変更する必要はありません。

二段階認証を導入する

二段階認証とは

Webサイトやサービスにログインする時、基本的には「IDとパスワードを入力」していると思います。

二段階認証を導入した場合は、指紋やSMS等でさらに1回の認証作業が必要となります。

この2回認証作業を行うことを二段階認証と言ったりします。

二段階認証のメリット

今までの1回の認証では、それが突破されるとアウトでした。

しかし、二段階認証になると最初の認証が突破されても、もう一つの認証でブロックできるのです。

このように、第三者によって認証を突破されるリスクは非常に低くなり、強固なセキュリティを実現できることがメリットです。

二段階認証の導入方法

そもそもの話ですが、二段階認証はサービス側が対応していないと導入ができません。

一般のサービスでよくあるのは、電話番号を用いたSMSでセキュリティコードが送られてくるパターンです。

二段階認証ができるかどうかは、各サービスのサポートサイトを確認してみましょう。

まひろ

「Twitter(サービス名) 二段階認証」でグーグル先生に聞くと出てきますよ

【大事】二段階認証の注意点

手軽に導入できる二段階認証ですが、スマートフォンを使用しているケースでは以下の注意点があります。

  • 端末をなくすと二段階認証を設定したサービスにログインできなくなる
  • 機種変更でログインできなくなる

機種変更の時には、二段階認証を解除するといった作業が必要なのは注意です。

そして、端末をよく落としてしまうといった方は導入しない方が良いかもしれません。

スマホを使用した二段階認証の場合、端末依存の認証ではあるのでなくしたら割と困ります。

脆弱性への攻撃の対処法はアップデート適用

脆弱性への攻撃の対処はすごく簡単です。

まひろ

定期的にOSやサービスのバージョンアップをしましょう

Windowsならば「設定」-「更新とセキュリティ」-「更新プログラムのチェック」で可能です。

Macなら「システム環境設定」を選択し、「ソフトウェア・アップデート」でOKです。

さらに細かいところとなると、インストールしているアプリやサービスのアップデートをしておきましょう。

私と同じブロガーさんならWordpressや導入しているプラグインとかですね。

結論:パスワード管理とOSのアップデートをしっかりしましょう!

今回は、情報漏洩を起こさないために身に着けておくべき知識について学びました。

本記事の要約

  • 攻撃者がまず狙うのは「認証の突破」と「脆弱性の悪用」
  • 認証情報を取得し、その情報でサインインされてしまうことを認証を突破するという
  • 脆弱性とは放置するとやばい抜け道
  • 認証の突破には、安全なパスワードを設定し、使いまわさないことが有効
  • 二段階認証を導入できるなら尚よいが、端末紛失には注意
  • 脆弱性の対策はバージョンアップをしておけばOK

深く説明すると一般の人向けではなくなるのであれですが、最低限の知識としては十分でしょう。

年々、個人向けへの攻撃が増えているので、損をしないためにも今のうちから備えておきましょう!

この記事が気に入ったら
いいね または フォローしてね!

シェアしてくれると嬉しいです!

当ブログ運営者

サイドFIREを目指す20代サラリーマン×セミパパのブロガー
・夫婦で行ったホテルやレストランは多数
・仕事はセキュリティコンサルタント
・転職を経験し、現在2社目

目次
閉じる