So-net無料ブログ作成
検索選択

アカウント乗っ取り(成りすまし)対策に「2段階認証」利用を [成りすまし]

 アカウント乗っ取りによる成りすましが後を絶たない。通販サイトへのなりすまし出品や、成りすましアカウントからのプリペイドカードの購入依頼のように、時には知り合いや第三者まで巻き込んでしまうこともある。アカウント乗っ取りに絶大な効果を発揮する、「2段階認証」の利用を検討してみてはいかがだろうか。

 商品が届かないマーケットプレイス問題で、アマゾンが出品者に2段階認証を設定するよう要請している。同社は「アカウントセキュリティ強化のためのお願い」としているだけだが、マーケットプレイスの不正出品に乗っ取られたアカウントが多数確認されており、何らかのアカウント乗っ取りが行われことへの対策と見られる。

 ツイッターやインスタグラム、フェイスブックなどでは、著名人らのアカウントからの思わぬ投稿で、騒然となることがある。誤操作などによる誤爆や、アプリ連携による勝手な投稿もあるが、乗っ取り犯による投稿というケースも珍しくない。成りすましアカウントがSNSのダイレクトメッセージ機能を使い、知り合いから電話番号と認証コードを聞き出してLINEを乗っ取ってしまう行為も未だに続いている。乗っ取ったLINEで本人になりすまし、知り合いにプリペイドカードの購入を依頼して騙し取ったり、さらなるLINEの乗っ取りを広げたりする手口だ。

 乗っ取られた場合に甚大な被害を及ぼすこうした主要なサービスでは、通常のパスワード認証に、SMS(電話番号宛てに短文を送る機能)やメール、電話(音声通話)、アプリなどの別の手段による認証を追加する「2段階認証」と呼ばれる機能を提供している。SMSなどに届く、あるいはアプリが生成する短い時間だけ有効なコードを入力して認証する方法だ。パスワード認証は、フィッシングやマルウェア(ウイルス)感染、情報流出、甘い設定や管理といった原因で破られてしまうが、もう1段別の認証手段で保護しておけば、両方が破られなければ乗っ取られずに済む。2段目の認証用のコードは、その場限りの使い捨てなので、SMSや電話、アプリを使った認証であれば、特定の端末や電話機をリアルタイムで操作されない限り安全だ。

■アマゾンの2段階認証

 先月から問題になっているアマゾンの2段階認証については、次のトピックスで設定方法を解説している。

・不正ログインを防ぐ「2段階認証」――設定(アマゾン)とログイン不能になった場合の対処法
http://www.so-net.ne.jp/security/news/newstopics_201703.html

 現在、この記事とメニュー構成が若干変更されており、「アカウントサービス」から「サインインとセキュリティ~アカウント情報の変更」に進み、「高度なセキュリティ設定」を選択する。大口出品者用のアカウントの場合は、「セラーセントラル」の「設定」から「ログイン設定」に進み「高度なセキュリティの設定」を選択する。

■SNS(フェイスブック、ツイッター、インスタグラム)の2段階認証

 フェイスブックとツイッターの2段階認証については、次のトピックスで設定方法を解説している。

・不正ログインを防ぐパスワードの設定と管理(後編)――Facebook、Twitter、LINEの2段階認証
http://www.so-net.ne.jp/security/news/newstopics_201608.html

 3月末から利用できるようになったインスタグラムの2段階認証は、アプリのプロフィールに移動し設定メニューから「二段階認証」を選択する。SMSを受信できる電話番号の登録が必須だ。

■メールアカウントの2段階認証

 多くのサービスでは、登録したメールアドレス宛のメールで本人確認を行い、パスワードリセットなどの重要な操作が行えるようになっている。このようなサービスでは、メールアカウントの乗っ取りが連鎖しないよう、メールアカウントも「2段階認証」で守りたい。アップル、グーグル、マイクロソフトの2段階認証については、次のトピックスで設定方法を解説している。

・不正ログインを防ぐパスワードの設定と管理(前編)――Microsoft、Apple、Googleの2段階認証
http://www.so-net.ne.jp/security/news/newstopics_201607.html

■認証コードは絶対秘密に

 端末などを盗まれたり操作されたりしない限り安全なはずの2段階認証だが、本人を騙して操作させると簡単に破られてしまう。多発しているLINEの乗っ取りがこのタイプで、SMSで送られて来る認証コードを本人から聞き出すことで、登録電話番号やLINEアカウントそのものを乗っ取ってしまう。短時間で変化する認証コードとはいえ、リアルタイムで盗み取られ、その場で使われてしまう手口には無力なので、騙されて他人に教えたり、自分で入力したりしないよう注意したい。

(2017/05/01 セキュリティ通信)

【関連記事:セキュリティ通信】
・大手通販サイトで「注文した商品が届かない」トラブル続出(2017/04/28)
http://security-t.blog.so-net.ne.jp/2017-04-28
・LINE乗っ取りの新手口 メール「LINE-安全認証」で偽サイトに誘導(2016/12/13)
http://security-t.blog.so-net.ne.jp/2016-12-13
・暗躍するLINEなりすまし~他人に教えてはいけないSMS認証番号(2016/11/25)
http://security-t.blog.so-net.ne.jp/2016-11-25