ネットではWebサービスの個人情報が流出するという事件が、驚くほど毎年発生しています。もう、個人情報流出は当たり前の時代になりました。
そこで、以前から私が実践している個人情報が流出しても慌てないための対策を紹介します。
なお、個人情報流出で、最近、よく問題になるのが「パスワードリスト攻撃」です。
流出したWebサイトのパスワードで、他のWebサイトを不正ログインする攻撃です。そのため、同じパスワードを使い回していると危険です。
なお、私は、万が一、Webサイト(Webサービス)から、個人情報が流出しても、被害が広がらないように、以下の対策を実施中です。この対策のお陰で、活用していた「船の予約サービス」の個人情報流出時に役にたちました。
対策①:使わなくなったWebサービスはなるべく早く解約する
*「Webサービスを使えば使うほど、個人情報流出は高まる」と考えた方がよさそうです。まずは、登録しているWebサービスを整理した上で、使っていなければ解約したほうが無難です。
対策②:同じパスワードを複数のWebサービスで使わない
*重要なサイトのパスワードはそれ専用のパスワードにして、なるべくパスワードの使い回しはしない。
対策③:メールアドレスにWebメールのエイリアス(別名)を活用
*あまりメジャーでないWebサービスにはメインのメールアドレスは使用しないようにしました。
対策④:ショッピングサイト、インターネットバンキングでは2段階認証を活用
*2段階認証を使うと、パスワードに加え、登録したスマホでのセキュリティコードを入力するので、パスワードが流出しても安全です。
情報流出が当たり前で身近になった時代に、どう対応すれば良いのでしょうか? 以下にまとめてみます。
■■□―――――――――――――――――――――――□■■
個人情報流出が当たり前の時代 慌てないための対策とは
■■□―――――――――――――――――――――――□■■
①使わなくなったWebサービスはなるべく早く解約する(Webサービスの断捨離)
実は、かなり前の2016年でも、商品やサービスをインターネット上で販売するサイト(ECサイト)の5割が攻撃を受け、そのうちの7割以上が「情報漏洩」などの実害につながっています。
企業におけるECサイトのセキュリティ実態調査 2016 | トレンドマイクロ
https://www.trendmicro.com/ja_jp/about/press-release/2017/pr-20170131-01.html
②クレジットカードは安心できるサービスのみ活用する
クレジットカードの活用は、できれば、2段階認証を使っているサービスのみにする。
③パスワードを複雑にする
インターネットの攻撃の中には、攻撃者が総当たりで数字や文字の組み合わせを試して、不正にログインしようとする攻撃があります。
そのため、パスワードを複雑にして、”英字の小文字・大文字、数字を混合させ、12桁以上にする”ことが大事です。詳しくは下記を参照ください。
【パスワード】はインターネット活用の鍵、見破られないパスワードとは
https://netyougo.hatenablog.com/entry/2018/03/04/181528
④パスワードを使い回ししない
《補足1》”パスワードリスト攻撃とは”を参照
クレジットカード情報などの重要な情報を扱う、ネットシッピング、インターネットバンキングなどのパスワードは、そこだけのパスワードにして、他では使用しないことが大事ですね。
なお、情報漏洩(流出)が発生した場合、そのサービスと同じパスワードを使っているサービスがあれば、そのサービスのパスワードをすぐに変更することが重要です。
⑤2段階認証を活用する
《補足2》”2段階認証とは”を参照
パスワードに加えてセキュリティコードの入力が必要な「2段階認証」というのがありますが、これを利用することで、「パスワードリスト攻撃」も防ぐことができ、安全になります。
⑥クレジットカードの利用状況を定期的に確認する(最低限、毎月1回)
個人情報がサイトから流出しても、それが判明するのは数ヶ月後になります。その間、もし、流出したパスワードで不正アクセスされ、クレジットカードが不正に利用されていたら大変。定期的に利用状況を確認しましょう。また、不正な利用があれば、クレジット会社に連絡します。
⑦Webサービスに応じてメールアドレスを使い分ける(Webメールのエイリアス活用)
重要度に応じて、使うメールアドレスを分けると良いですね。メジャーでないサービスにはWebメールのエイリアス(別名)を活用するとよいです。詳しくは下記を参照ください。
【Webメールのエイリアス(別名)】とは、メインアドレス以外に使えるメールアドレス
https://netyougo.hatenablog.com/entry/2017/12/05/175333
《補足1》パスワードリスト攻撃とは
Webサイトから漏洩した情報を使って、別のWebサイトに不正ログインしようとする攻撃です。攻撃の例として、サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗んだパスワードを使い(IDを変化させながら)、他のサイトB、サイトCに不正アクセスを試みます。
サイトA・・・ログイン ID=abc パスワード=xyz12345
サイトB・・・ログイン ID=abc パスワード=xyz12345
サイトC・・・ログイン ID=abc パスワード=xyz12345
《補足2》【2段階認証】とは
Webサービスの2段階認証は、①パスワードに加えて、②セキュリティコードの入力が必要になるログイン方法で、万が一、他のサービスと同じパスワードを使っていても、パスワードが漏れても大丈夫な、Webサービスを安全に活用する最強の方法です。
2段階認証時に使用する“セキュリティコード”は、自分が持っているスマホや指定されたメールアドレスに送信されるなど、いろんな方法があります。
この「セキュリティコード」は時間毎に変化するので、見破られることは基本的にありません。「2段階認証」、とても面倒なようですが(正直慣れるまでは面倒です)、一度慣れてしまうと、意外と楽に操作できます。
*以下は、スマホで発行される“セキュリティコード”の例です。
【2段階認証】とは、Webサービスを安全に活用する最強の方法
https://netyougo.hatenablog.com/entry/2018/03/04/181812