Yahoo!IDを乗っ取られた方からの連絡
ヤフオク詐欺にあった経過を記事にしたのをご覧いただいたようでヤフーIDを乗っ取られた方から連絡がありました。
マイム(仮名)様という方からの連絡で以下のブログを読ませていただきました。
こりゃ人事じゃない!自分も相当甘いパスワードでしかも同じパスワードで何年も過ごしてる・・・相当ヤバイ
マイム様の記事の内容を一部転載させていただくと、
「ヤフオク!」アプリを見ると、見覚えのないブランド品が大量に出品され、
もう既に落札されていました。
評価欄には「非常に悪い出品者です。」の評価とともに
「詐欺!人間のクズ!返金しろ!」といったコメントが複数…IDを乗っ取られた…!!!!!
もう頭が真っ白です。泣きそうです。
調べてみると落札者数数十名、落札総額100万円以上…。
「私のIDのせいで、私がこの2日気付かなかったせいでこんなにも被害者が…?!」
震えが止まりません…。
こんな感じで甘いパスワードのままだと知らないうちに自分が巻き込まれてしまって恐ろしいことがおきます(T_T)
めちゃめちゃ怖くなりましたので仕事そっちのけでしばらくはパスワードのセキュリティ対策をしていきます。
こんな風にID乗っ取られたら仕事どころじゃなくなってきちゃいますので、まずはセキュリティ対策をしなければ!これからもネット民として生きていくので平穏無事に過ごせない。
過去に知人は専用サーバー乗っ取られた人や、パソコン乗っ取られて相当期間潜伏されていて遠隔操作で銀行口座や住所録など全部ダダ漏れになったという被害を聞いていたのを忘れてました。
ヤフオクで詐欺にあった時も相当なストレスが溜まったので、こんな風にIDを乗っ取られてしかもそのIDで犯罪を起こされた日には・・・マイム様の辛労、痛いほど分かります。僕もマイム様のブログ読んだだけで少し胃が痛くなりました(;O;)
まずは主要IDの2段階認証
今まで2段階認証をやらなかったのはログインするのにいちいちSMSやメールで番号受け取って認証したりするのがメンドウだったからやってなかったのですが、メンドウでも乗っ取られるよりは数千倍ましです。
ちょっと調べたら「Google認証システム」というアプリでGoogleID、Microsoft、Dropboxなどを2段階認証できるようです。これを使えば簡単な操作で2段階認証できるのでメンドウということもなくIDを使えます。知らなかった、勉強不足すぎ。
今すぐ主要なサービスのIDを2段階認証実施します。
- Skype
- Yahoo!
- MSN(Microsoft)
- 楽天銀行
- LINE
- Dropbox
- ワードプレス
上記の2段階認証の設定をしていきます。(思いついたサービスなので2段階認証がない場合がありますのでその都度変更していきます。)
各サービスの2段階認証の設定方法はそれぞれの記事に書いてみます。
特にGoogleとかLINEとかのIDが乗っ取られると友達・同僚・仕事仲間などの個人情報をすべて犯罪者に知られてしまうのでヤバイことになります。
こんなことになったら本当に友達なくします!
今までどんだけユルいセキュリティー対策してたのか反省してますm(_ _)m
自分は主要な2段階認証の設定が終わってとりあえずは現在は乗っ取られていないようなので一安心といったところです。
これから友人にも連絡して2段階認証を実施しなさいと連絡網を回します。もしくは詳しくない友人にはやってあげなければいけない。
2段階認証とは?
2段階認証とは現在主に使われているセキュリティを高める方法で、ID・パスワードの他にスマートフォンなどの認証端末が必要になるプロセスです。
簡単にいうとID・パスワードが分かっても2段階認証するための携帯電話・スマホでアプリや電話・SMSで認証しなければログインできなくなる仕組み。
なので今後ますます携帯電話・スマホは重要なアイテムになっていきますね。
2段階認証をするとログインするのがメンドウになると考えていましたが実際にやってみるとほぼメンドウはないです。
理由は、信頼できるパソコンや信頼できるスマホ・タブレットを許可してその中でも信頼できるアプリ・ブラウザなどをログイン許可しておけば2段階認証をパスしてくれるので初めの一回だけ許可設定しておけば自分の所有しているパソコン・スマートフォン・タブレットは通常のID・パスワードのみでログインできます。
公共の端末、会社のパソコン・スマホやネットカフェのパソコンなどはその都度2段階認証したほうが良いでしょう。というより公共の端末(図書館など)やネットカフェのパソコンでは重要なサービスにログインしないほうが良いと思います。
ただし、スマホなど手放す時は2段階認証の許可を解除しておく必要があります。
自分のパソコン・スマホ・タブレットから「以外」の不正なログインは2段階認証がかかりますので、登録した携帯電話・スマホにメールがきますので不正ログインされているというのがすぐ分かります。
2段階認証を設定しておけばセキュリティが高くなってひとまずは安心ですね。それでも油断大敵ですが。
2段階認証の方法
現在のところ2段階認証の方法は3通りあるようです。各種サービスによって認証方法が違う場合がありますので今後個別にサービスごとに検証していきます。
電話音声で認証
スマホの電話番号を入力して電話がかかってきて番号を言われますのでそれを入力して認証する方法です。音声は英語の場合がありますので英語が苦手な人はキツイ場合があります。
これはサービスによってMVNO(格安SIM)の050などのIP電話でも出来る場合がありますが070,080,090の普通の携帯電話の番号のみしか受け付けないサービスもありますので注意が必要です。
携帯SMS・携帯メールで認証
携帯のSMSやメールに認証コードを送ってもらって2段階認証する方法です。
サービスの中には携帯メルアド必須の場合がありますのでMVNO(格安SIM)の場合はできない時もあります。
また、SMSなしのMVNO(格安SIM)ではこの方法では認証できません。
アプリによるワンタイムパスワード
ワンタイムパスワードは、ジャパンネットバンクやゆうちょ銀行のトークン(機械)という一定時間ごとに変わる数字を入力して認証する方法です。
一定時間ごとにパスワード(数字)が変わるのでトークンを持っていないとオンラインで振込送金はできないので多くの銀行が採用している方法です。
特に中国ではそういう犯罪が多いのでトークン必須で日本のいくつかの銀行が採用している番号表での認証は一切ありません。
一定時間ごとに認証番号が変わるトークンが現在のところ最強なのでしょうか?
そういうトークンのワンタイムパスワードの仕組みをスマートフォンのアプリで実現して2段階認証を行うアプリがあります。
中でも「Google認証システム」が一番メジャーです。Google社のアプリなので安心ですね。
これを使えばメンドウなSMSや電話での2段階認証はしなくてよくなりますが・・・スマホは絶対に!なくせなくなります。注意しましょう。(スマホをなくした場合の対策等も調べて書いていきますね。)
現在のところ3種類の2段階認証があるようですがスマートフォンを持っていればアプリのワンタイムパスワードの2段階認証が一番簡単で良さそうです。
ただ、どの認証方法もそうですが2段階認証をした携帯電話やスマートフォンを無くした場合はどうする?という疑問が残ってますのでそれを回避する方法を探しながら調べていきます。
(もしスマホ・携帯電話を無くした場合の想定をちゃんとしてないと自分自信もサービスにログインできなくなることが予想されますので予め緊急対応できるようにしておくとさらに安心です。)
これから数日間に渡ってワンタイムパスワードと2段階認証について各サービスのやり方などをメモしていきます。
コメント