fbpx

パスワード「もれても平気」? もはや使わない理由がない二段階認証

アカウントの二段階認証を設定さえしておけば、万一パスワードが流出しても不正ログインされる心配ありません。デジタル遺品やデジタル遺産のアカウントも確実に安全が守られます。しかしどうしてパスワードが漏えいしても平気なのか?その理由をわかりやすく解説します。
セブンペイの事故も二段階認証があれば防げたことでしょう。
不正ログイン使用されては「デジタル終活」も無意味となってしまいます。まだ「二段階認証」未設定の方はすぐに設定しましょう。


目次

なぜ二段階認証が必要なのか

「多要素認証」「二要素認証」とも呼ばれることのある二段階認証は、アカウントを守る最強の鉄壁の城壁です。
それにもかかわらず、なぜか使う人がまだ少ないのは残念でなりません。さらに日常のデジタル使いだけでなく「デジタル終活~デジタル遺産とデジタル遺品の確実な継承」を考えても二段階認証は必須の手続だと断言できます。

関連記事

身に覚えがない「dアカウントでログインした方に送信しています」とか「セキュリティコード」などのログイン通知メッセージを受け取った方はいませんか? 2018年の秋。愚かにもdアカウントのパスワードを使い回していたデジタルキーパー株式会社の代[…]

 

「パスワードはもれてしまうもの」を前提にアカウントの安全保障対策をしよう

これまでのご説明で、残念ながら

事についてはご理解いただけたと思います。

つい先日(2019年1月末)にも新たな大規模情報流出がありました。

「老舗ファイル送付サービス・宅ファイル便」の大規模個人情報流出事件

「宅ファイル便」は大阪ガスの子会社オージス総研が長く運営してきた「大きなデータやファイルを安全に送付するサービス」です。
同種のファイル配達サービスの中でも草分けとして、最も知られたサービスであり、法人向けの有料サービスも運営していました。

ところがなんと「ID代わりのメールアドレス、パスワード」だけでなく、「預かっていた顧客のデータも流出した恐れがある」というのです。

実は私も「宅ファイル便」を以前に使っていました。
使わなくなったため、5年以上前に退会していたのですが、今回の流出では退会者の過去のアカウントも流出した可能性がある」と驚くべき連絡がありました。
当時はデジタル終活に取り組む前だったため、「宅ファイル便」には使い回しのパスワードを使っていました(今は一切ありません)。

そこで念のため、「宅ファイル便と同じメールアドレスを使った」か、「過去一度でも宅ファイル便と同じ、使い回しパスワードを使った」アカウントをすべて新しいパスワードに変更しました。
大変な手間がかかりました。

有名サービスでもこんなずさんな個人情報管理をしている!

宅ファイル便」のように、有名で広く使われており、運営会社の信用度も技術もしっかりしていたはずのサービスでも、このような事件・事故がしばしば発生してしまうのが現状です。

更に「退会済みのアカウントデータを破棄せず残していた」という、ユーザーの信頼を裏切る「あり得ないほどずさんな運営」も明らかになりました。今後、法的にも極めて厳しい批判や処罰を受けるはずです。

結局、「人がやることだから、ミスも事故も起こりえる」というになってしまいます。

やはり「パスワードは漏れるものだ」という前提でアカウントを管理しなければなりません。

どんな強力で安全なパスワードをつけても、流出したらアウト!

万一アカウントが破られて流出した場合、パスワードを使い回しをしていなくても、緊急事態であることは言うまでもありません。
悪意のハッカーは運営者が気が付く前に、パスワードを悪用して目的を達成しようと試みるからです。

事実過去にも「流出事故発覚前」より先に悪用されて、不正使用によって事故が発覚するようなケースも多数あります。

下の例では、事故の発生から発覚して流出を止めるまで9日間の間に「クレジットカード番号、有効期限、セキュリティコード」といった重要情報が流出してしまい、多数の不正ログインが発生してしまいました。
オンライン販売のシステムを作る会社までもが、個人情報を流出させてしまっています。

まして、同じIDとパスワードを「使いまわし」していた場合は、使い回ししているサイトのすべてにリスクが広がってしまい、対策は大変です。
それがデジタル遺品やデジタル遺産のパスワードだったとしたら、ずっと後になって大切な方にも苦労や損害を与えてしまうかもしれません。

関連記事

通販サイトを狙ったセキュリティー犯罪が続いています。 2019年6月にはヤマダとコジマに続きイオンのサイトが狙われ、パスワードリスト攻撃により不正アクセスにより大きな被害を出してしまいました。どうしたら防げるか?イオンの事故より、デジタル[…]

膨大なリストからパスワードを盗み出す、パスワードリスト攻撃のイメージ

二段階認証を設定しておけばパスワードが漏れても安心

「流出してもパスワードが悪用される心配がない」二段階認証

ぜひ皆さんに安心していただきたいのは、仮にIDもパスワードも流出してしまったとしても、「アカウントの二段階認証」さえきちんと設定しておけば「心配ない」という事実です。
改めて確認すると、

・「パスワードの使い回しをしない」

・「二段階認証を設定する」

この二つをご自身のアカウントに実行するだけで、不正アクセスされたとしても不正ログインや侵入や不正利用などの被害をこうむることは絶対にありません。

この事実は何度強調してもしすぎることはありませんが、こんなに効果的な二段階認証を知らなかったり、使わない人がまだ多いという事実は残念でなりません。
下記の記事にあるとおり、2018年1月の時点でもGoogleのアカウントですら「9割の人が二段階認証を使っていない」のが現実です。

 二段階認証を採用しているサービス

二段階認証はユーザーがどんなに使いたくても、オンラインサービス側が対応していないと利用できません。
しかしセキュリティー事故が多発している現在、有名で重要な個人情報を扱うサービスはほとんど導入済みです

二段階認証を導入済みの主なサービス・・次第に増加中 !
Google、Yahoo!、Twitter、Amazon、Apple、Microsoft、Facebook、Instagram、Dropbox、Evernote、LinkedIn、ドコモ(dアカウント)、AU、ヤマト運輸、リクルートID、PlayStation Network、PayPal、Chatworksなど

近年では、ドコモが「iphoneXの不正購入」が多発したことで、急きょ導入しました。ドコモのユーザーの方は、毎日のように「二段階認証設定の案内」が送られてきたはずです。

有名どころで、しばしば不正利用されているにも関わらず、楽天やJAL、ANAのアカウントには完全な二段階認証はまだ導入されていません。早期の導入を望みたいものです。

また2019年7月4日にセブンペイで5000万以上の被害額となる大規模な不正使用事件が発生しました。これもセブンペイが二段階認証を設定していれば防げたと思われます。

今後ますます重要なアカウントは「二段階認証は必須」のものとなっていくはずです。むしろ決済や重要な個人情報を扱うサイトでは二段階認証のないサービスは使うべきではありません。

 

パスワードが漏れても安心な二段階認証の基礎知識

「難しいことは抜き」に、簡単にご説明します。

二段階認証は、厳密にはいくつかの方法や種別があり、正確に説明するとなかなか複雑で難しくなってしまいます。
しかし技術寄りの説明は本サイトの目的と離れてしまいますので、思い切って簡略化してご説明します。

 

 本人であることを証明する2種類の方法を同時に使うのが二段階認証

「使用する本人が確実に本人である」こと確認する、すなわち「本人認証」の仕組みには、大きく2つの方法があります。二段階認証はこの二つの認証のどちらも使って本人認証を行うことです。

  1. 「本人しか知らない秘密」で確認する。
    ・・・「パスワード」は本人にしか知らないことですから、これにあたります。
  2. 「本人が所有確実な機器を利用して照合」して確認する
    ・・・個人が自分の個人の物として使用している「スマホとかPCを使ってログインすること」がこれにあたります。

実は銀行のキャッシュカードも二段階認証です。

お金を下ろすときに銀行のキャッシュカード持ち歩くのは面倒ですね。
「口座番号と暗証番号入れるだけで引き出せたら便利なのに」
と思う方もおいででしょう。

でも口座番号とキャッシュカードは「①の本人しか知らない秘密」です。
これが両方とも漏れてしまったら、誰にでも勝手に使われてしまいます。

それを防ぐために「本人が確実に持っているキャッシュカード」を「②本人が所有確実な機器」として二段階目の認証に使っているわけです。

以前はキャッシュカードの情報は不安定で偽造できる磁気が使われていましたが、この頃は偽造できない。ICが埋め込まれているカードに置き換わっています。カードを持っている人は「確実に本人」と見なして良いことになります。

 

二段階認証には、実はいろいろな方式があります

二段階認証は記憶しているパスワードや暗証番号+別の機器の二段階の確認を行う方式だとご説明しました。二段階目の機器には実はいろいろな方式があります。右は「ジャパンネット銀行」が二段階認証のために配布しているトークンと呼ばれる小さな機械です。
パスワードに加えて、トークンに表示されている6桁の数字を入力することでログインできます
表示されている数字は1分ごとに自動的に切り替わるため、このトークンを持っていない人は類推不可能という仕組みです。
当然ですが、ユーザーはログインする際は必ずこのトークンを持っている必要があります。

以前はこのような専用機器を配布するケースもありましたが、
  「電池交換の必要がありコストもかさむ」「忘れたときにログインできない」
といった不便
がありましたので、現在は誰もが持っている「スマホやPC」といったIT機器を鍵として二段階目の認証を行うことが普通となっています。

 

二段階認証の仕組みについて

他人も同じ機種を持っているスマホやPCで、どうして本人確認できるのか?

オンラインサービスにつないだスマホやPCが「特定の個人のもの」と、どうしてわかるのでしょうか?
スマホやPCで個人を識別する技術はいろいろありますが、代表的な物2つをご説明します。

スマホの場合・・端末識別番号(IMEI)がついている

すべてのスマホにはその端末だけが持つ固有の「端末識別番号(IMEI)」というコードが、製造時から機械の中に埋め込まれています

サービス側は通信を通してこのコードを確認することで、「特定のスマホだ」と識別することができます。

 

PCの場合は「通信の部品」に固有のコードがついている

PC、スマホ、タブレットなど、ネットワークにつなぐ機器には、部品(LANカードや無線LANの送受信機能)に、それぞれ固有の「MACアドレス」という識別コードが埋め込まれています。
全世界の通信機器にはそれぞれ固有なコートがつけられていて、同じ物はありません。

サービス側は、ユーザーと通信のやりとりの時この「MACアドレス」コードを取得することができますので、「特定の機器からのアクセス」と識別できるのです。

なお、ご自身のPCやスマホのMACアドレスは簡単に調べることができます。スマホは「設定」メニューの「情報」に記載されています。ご関心のある方はPCは下記の方法を試してみてください。

 

二段階認証の基本は「一段目:パスワード」と「二段目:ログインに利用登録した機器」の2つをサービスに登録して認証してもらうこと

二段階認証とは

まず「本人しか知らないパスワードによるログイン」

次に「本人が確実に所有している登録済の機器からのログイン」

の両方共がそろってはじめて本人だと確認(=認証)をする仕組みです。

いくら他人がパスワードを知っていても、本人所有でない機器(スマホやPC)からは不正ログインとされてログインは完了できません。

上の図のように、仮に

 1.「本物のパスワードが流出」して他人に乗っ取られて不正アクセスされたとしても、

 2.「未登録の他人のPCやスマホ」では「不正ログイン」とみなされログインが完了できない!

ので、アカウントの安全を守る事ができるのです。「これならたしかに安心!」と思いませんか?

 

もしもパスワードと機器どちらも盗まれたらどうなるの?

また、なかなかあり得ないケースですが、「パスワードと同時にPCやスマホも盗まれた場合」は不正ログインされ放題になってしまうのでしょうか?

一番大切なのはスマホやPCのセキュリティー対策を確実にやっておくことです。そうすれば今のスマホやPCは盗まれても簡単に他人に使われることはありません。

また不幸にして使われてしまったとしても、しっかりしたサービスだと、サービス側はログインする機器の確認だけでなく、「ログインする場所はいつもと同じか?」「ログインする回線がいつもの通信回線か?」など複数のチェックも行っている事が多いのです。

器は同じでもサービス側が「いつもと違うログインだ」と判断すれば、再度の認証を求めますまたその際は登録しているメールアドレスに通知も来ますので、不正アクセスに気付くこともできます。

こうして何重もの対策で不正利用を防ぐことができ、仮に盗まれたとしても、

「別の自分の機器からログインパスワードを変更してしまう」
「アカウントを凍結してしまう」
「スマホの情報を削除する」

などの対策をとる余裕ができますので、アカウントの安全性が大きく高まるのです。

関連記事

今やスマホは「命の次に大切」という方は増えていると思います。 そんな大切なスマホを万一紛失してしまったら。さらに悪用されたら、、、? 頭が真っ白になってしまわないよう、デジタル終活に取り組むことを契機にしっかり準備しておきましょう。万全[…]

スマホの紛失・悪用の防止

 二段階認証のためには本人を確認するデジタル機器の登録が必要となる

上記でお分かりの通り、あるアカウントで二段階認証を使う場合には本人が確実に所有しているデジタル機器(PCやスマホ)」をアカウントに登録して覚えてもらう必要があります。

ここが「二段階認証の分かりにくい」ところですので、次章以降で詳しくご説明します。

 

まとめ:理屈はともかく、必ず二段階認証を設定しましょう

以上いろいろとご説明しましたが、シンブルに二段階認証とは

 「パスワードとログインを許可する機器を結びつけて不正ログインを防止する」

 「パスワードが正しくても未登録の機器からはログインできなくする」

仕組みなんだと覚えておいてください。

パスワードが盗まれて不正アクセスされてもログインできなければ不正使用はされません。また未登録の機器からログインが試みられたことは不正アクセスとしてすぐに通知が来ますので「怪しいぞ」と対応することもできます。

確実な安全を保証する二段階認証は、必ず設定なさるよう強くおすすめします。デジタル終活のためにも必須のお作法です。

 

当社の「デジタル終活サポートサービス~Digital Keeper」を、ぜひお試し下さい!

当社代表の冨田の長年の構想を元に、2019年9月11日にスタートした「オンラインデジタル終活サービスDigital Keeper」は、わずか390円の会費で、どなたでもお手軽にデシタルキーピングやデジタル終活が実行できる、新しいコンセプトのオンラインサービスです。

Digital Keeperにご入会いただきますと、当ブログにあるような「デジタルの安全にタイムリーに役に立つ情報」「デジタルキーピングの方法」などをメールマガジンでお届けしながら、会員にまさかの事態が起きたときには、しっかりと会員のデジタル終活をサポートさせていただきます。

※Digital Keeperは、多要素分散保管の考え方に基づき、アカウントやデジタル資産の本体はお客様側に保存いただき、管理情報(保管場所や鍵となるパスワードなどの情報)だけをお預かりするサービスですので、機密情報も安全に預けることができます。

今なら1ヶ月無料で全機能を自由にお使いいただけます。この機会にぜひお試し下さい。(詳細は下記バナーをクリックすると新しいウィンドウでご覧いただけます)。

Digital Keeperバナー

関連記事

2019年6月。LINEがユーザー対象に大規模なセキュリティー調査を実施し、残念ながらユーザーの意識が極めて低い実態が明らかになりました。 LINEは個人レベルでは最も使われているSNSですから、プライバシーからペイメント支払まで、家族や[…]

LINEのアカウントを乗っ取られて悲しんでいる
関連記事

いろいろなところで目にする「パスワードは8文字(8桁)以上、時々変更しましょう」。これで本当に大丈夫なのか? 内外の最新研究を検証した衝撃の結果は「今では8文字パスワードは弱い!」しかし「強いパスワードを設定したら二度と変更の必要なし!」[…]

パスワードをあらゆる手段で盗み出すハッカーのイメージ
プッシュ通知を
>

「このブログとデジタルキーパー社」
このブログはデジタルキーパー株式会社が「デジタルの安全な使用と継承~デジタルキーピング」をテーマに、「スマホ、PCの安全な使用方」から「正しいパスワード」「不正アクセスの防ぎ方」「デジタル遺品管理などデジタル終活の方法」まで、様々なノウハウをご紹介するブログです。
さらに当社は2019年夏からは「コーヒー1杯分の代金でデジタル終活支援サービス~Digital Keeper」をリリースしました。
誰にも必要なデジタルキービングをサポートします。

CTR IMG