昨晩、Yahoo! Japanから不正なログインがあった旨メールでお知らせがあった。
状況的にはメールアカウントでログインを試み(この時点でパスワードは突破されている)ワンタイムパスワード(二段階認証)を要求されて今回は事なきを得ている。ワンタイムパスワードを設定するとログイン履歴は2行になる。
IDとパスワードが正常に受け入れられたのが「ログイン」、ワンタイムパスワードが受け入れられたのが「ワンタイムパスワード」として記録される。件の履歴は「ログイン」で止まっているというふうに見るわけだ。
が、パスワード自体は突破されてしまっているのでもちろん、下記の事をした。
- より強固なパスワードに変更
- メールアドレスログインを使えないように変更
- シークレットID設定
こんな感じ。
定期的に書いているが、二段階認証があるサービスでは必ず二段階認証を設定するべきだ。はっきり書くが奴らはIDとパスワードだけなら特定の条件下ではびっくりするほどにあっさり乗っ取る。あとはやろうとするかしないか、だけだ。大手のサービスではAmazon Japanが二段階認証を使えるようにしたが、周知はされなかったので、二段階認証をONにしていない出品アカウントが乗っ取られて大変な事になっている。他人事と思ってはイケない。つまりは購入用アカウントも同様に乗っ取られる可能性があるって事だ。よく使うなら即刻Amazonでも二段階認証を適用すべきだ。
いま現在の心配事は楽天。一向に二段階認証をする気配が無い。ログインアラートがあるだけだ。
心配といえば銀行系は特に気をつけよう。少なくとも銀行系のサービスでは最低でも「電子証明」による認証をしている事が必要だ。ネット銀行系ではログインはパスワードだけでも振込などの操作はベストはトークンによる二段階認証(ゆうちょ銀行やジャパンネット銀行)、最低でもそれに準じた独自の認証システム(たとえば住信SBIネット銀行)が必要。それ以外のパスワードのみの銀行は利用を続けるかどうか真剣に考えるべきだ。ウチではスルガ銀行の利用を停止した。しかし一向に銀行系の「ログイン」に二段階認証が採用されないのは一体どういうわけだろう? トークンを利用すればいいだけだと思うのだが・・・。
やれることをやらず、アカウントを乗っ取られてもそれは自分が悪いという事にもなる。やらない方は
- 自分は大丈夫→意味不明。危機意識なさすぎ
- 乗っ取られても大した被害はない→考えがあますぎ
- セキュリティソフトを入れているから大丈夫→大きな勘違い。セキュリティソフトはアカウント乗っ取りなどには対応していない。というか対応できるわけがない。(別なPCなどから使っているWebサービスにアタックするので自身のPCは関係なし。ただし、自身のPCからIDとパスワードが盗まれる危険性は減る。)
という、対岸の火事でのほほんとしている方がほとんどだ。もう一度言う。
今時はIDとパスワードだけでは守れない
これをほんとに真剣に考えて欲しい。
Appleさんも最近そんな感じですよね。
他のマシンだとメール着ますし。