SNS・通販…増えるアカウント　安全管理のツボは？

MicrosoftアカウントやGoogleアカウント、Amazonアカウントなど、多くの人が数多くのアカウントを利用しているはずだ。他のWebサービスと連携するなど利便性が高い一方で、セキュリティーリスクもある。そこで「パスワードを強くする」「不正アクセスがないか調べる」「SNSが乗っ取られたときはどうする」といった、アカウントを安全に管理するための基礎知識を紹介する。

Q　パスワードはどうすれば強くなる？

アカウントの乗っ取り被害を防ぐ第一歩はパスワードの強化だ。基本は以下にあげる「パスワードを守る3箇条」の通り。

できるだけ複雑にする:連番などの単純なパスワードを使わない。大文字・小文字、数字、記号を制限の範囲内で組み合わせる。

推測できないパスワードにする:生年月日、電話番号、名前などを使わない。

使い回さない:同じパスワードを使い回すと漏洩時の被害が拡大するので、Webサービスごとに変える。

しかし、分かっていても、全てのアカウントでこの原則を守るのはなかなか難しい。

自分で強固なパスワードを作成して管理するのが難しいと思うなら、パスワード管理ツールに任せるという手もある。

以上の3点が管理ツールの主な役割。無料のWebサービスもあるが、本気で守りたいなら有料のツールも検討してみよう。

Q　生体認証なら安全？

指紋認証や顔認証など、生体認証機能を搭載した機器が増えている。パスワードに比べて安全性が格段に高いのは事実だが、何事にも「絶対安全」はない。写し取った指紋が認証されたり、指紋偽造用のアプリが開発されたりと、危険性は少しずつ高くなっている。生体認証だけに頼らず、ほかの安全対策と併せて考えるのがよいだろう。

Q　パスワードを忘れた！

パスワードを忘れても慌てる必要はない。通常はログイン画面に「パスワードを忘れた」といったリンクがあるのでクリックする。メール、電話、秘密の質問などで本人確認ができれば、パスワードを再設定できる。Windows でMicrosoftアカウントを忘れて起動すらできない羽目になっても、専用のWebサイトでアカウントの回復申請ができる。

Q　アカウントをより強固にする「2段階認証」って？

考え抜いたパスワードを設定しても、運営側からの情報漏洩などで外部に漏れることはある。そんな最悪の事態でも、大事なアカウントを乗っ取られない防御策の一つが「2段階認証」（「2要素認証」などとも呼ばれる）だ。

2段階認証とは、通常のログイン認証に加え、携帯機器などでの認証をしないとアクセスできないようにする認証方法だ。2段階認証を設定後、通常使用していない機器やWebブラウザーからログインする際や、重要な変更を行う際などに「セキュリティコード」の入力画面が表示される。2段階認証設定時に指定した携帯機器でセキュリティコードを受け取り、それを入力することでログインできる仕組みだ。

万一アカウントを盗まれてもWebサービスにアクセスできないため、被害を防ぐことができる。また、なりすましてログインしようとすると、携帯端末に認証コードが送信されるため、不正アクセスに気付くという利点もある。

Microsoft アカウント、Googleアカウント、Facebookアカウント、Apple ID、Twitterアカウントなど、主要なアカウントが2段階認証に対応している。Googleアカウントの場合、アカウントの設定画面から2段階認証の設定ができる。

認証方法としてはSMSが主流だが、アカウントによってはメール、音声通話、認証アプリなどにも対応している。

Q　情報漏洩を知らせるメールが！……どうする？

アカウント情報が漏洩する原因の一つが、有名企業の名をかたるメールで偽サイトに誘導し、個人情報を盗む「フィッシング詐欺」。「ID が無効になっている」といった脅し文句でパスワードの再設定を促すことが多い。実際に企業から送られてくる可能性もあるので、とても紛らわしい。

本物であれ偽物であれ、URLをクリックすることを促すメールは疑ってかかるのがセキュリティーの鉄則。メールに記載されたURLは絶対クリックしてはいけない。心配ならWebブラウザーで企業のWebサイトにアクセスして、パスワードを変更すればよい。

Q Webブラウザーに保存はOK？

多くのWebブラウザーには、入力したアカウント情報を保存して、ログイン時のアカウント入力を自動化する機能がある。便利な機能だが、安全性を考えるとお勧めできない。席を離れた隙にアクセスされる可能性もあるし、設定画面からIDとパスワードが丸見えになるWebブラウザーもあるからだ。保存するなら重要度の低いサービスのみにしよう。

Q　使わないアカウントは放置？

二度と使いそうもないサービスであれば、アカウントは削除したほうがよい。放置しているとアカウントを盗まれても気付かないことがある。SNSなどのアカウントで偽のメッセージや詐欺メッセージを発信されれば、信用問題にもなりかねない。しばらく使っていないサービスは利用状況を確認し、使わないならアカウントを削除しておこう。

Q　不正アクセスがないか調べられる？

書いた覚えのないメッセージが投稿されているといった明らかな痕跡がなくても、不正にアクセスされている可能性はある。不安があるなら、Webサービスの「アクティビティ」を調べてみよう。

Facebook では、投稿したメッセージはもちろん、「いいね！」やコメントの記録も確認できる。また、新しい機器からアクセスがあれば確認メッセージが表示されるので分かりやすい。

Googleの場合はアカウントの設定画面でアクティビティの確認ができる。「最近使用した機器」の一覧を見れば、不正なアクセスは一目瞭然だ。

Q　自分のメアドが漏洩していないか知りたい

メールアドレスをそのままIDとして使うサービスは多い。メインで使っているメールアドレスを全てのサービスで使うと、アカウント流出時に被害が拡大する危険性が高くなる。重要度の低いサービスはGmailなどの無料メールアドレスを使うなど、使い分けをしたい。漏洩していないか心配なら、「Have ibeen pwned?」で調べてみるとよい。

Q SNSが乗っ取られたときどうする？

SNSに覚えのないメッセージが投稿されている場合、アカウントの乗っ取りや、連携先からの無断投稿が考えられる。まずはパスワードを変更して外部からのアクセスを遮断し、怪しいメッセージを削除する。友人に被害が広がらないよう、お知らせやおわびを掲載するとよい。報告機能があるSNSなら運営側に報告し、怪しいSNS連携は解除しよう。

（文　鈴木真里子=グエル）

［日経パソコン2月26日号の記事を再構成］