自分が持っているオンラインサービスのアカウントを、全部思い出せますか?見たいコンテンツがあったとか友人に頼まれたからとかの理由で登録して、そのまま興味を失ってしまったサービスもあるのではないでしょうか。多くの人は単にログインしなくなるだけで、アカウントをいちいち削除しません。アカウントが存在し、休止状態で、ハッキングされるのをただ待っている…そんな状況では、万一ハッキングされた場合、気付くのに時間がかかります。
放置されたアカウント:どんな問題が起き得るか
いらないアカウントに何かあったからといって、実際そんなに問題なのか?ハッキングされて、何が悪いのか?どのみち、そのアカウントは必要なかったわけです。しかし場合によっては、放置されたアカウントが悪用され、自分にとって大切な資産や重要な情報に他人からアクセスされてしまう可能性があります。では、放置していると大きなリスクとなりかねないアカウントとは、どんなものでしょうか。また、具体的にどんな危険があるのでしょうか。
1. SNSアカウント
自分の持っているSNSアカウントの状況を、定期的に全部チェックする人はほとんどいません。たとえばFacebookでアカウントを作成し、Instagramやその他サービスへログインするときにFacebookアカウントを使っているが、やがてFacebookをほとんど使わなくなる、というのは特に珍しいことではありません。アカウントが有効であるかぎり、Facebookはさまざまな通知メールを送ってきますが、使わなくなったサービスからの通知など見なくなくなるものです。
繰り返しますが、実にありがちな話です。不明なデバイスで誰かが自分のアカウントにログインしたことを警告するメールが届いても、そのメールが読まれることはないのです。ログインしたサイバー犯罪者は、Facebookにひも付いたアカウントを好きなようにできます。その人の友達やフォロワーをFacebook上でだましたりするかもしれません。
対策
- 2段階認証を設定する。2段階認証は多くのサービスで提供されています。代表的なSNSのセキュリティ設定(2段階認証を含む)については、過去にKaspersky Dailyで取り上げました。Facebookの場合はこちら、Twitterの場合はこちらを参照してください。
- 不明なデバイスからのログインに関する通知を有効にする。届いた通知をちゃんと注意して読むこともお忘れなく。
2. 予備のメールアドレス
オンラインサービスの登録用に、普段使っているのとは別のメールアカウントを持っている人もいます。オンラインサービスからの通知が来るだけで実際の人が送ってきたメールは届かないので、このアカウント宛のメールはあまりチェックしないかもしれません。そのため、このメールアカウントがハッキングされても、長い間気付かない可能性があります。それこそ、重要なオンラインサービスのアカウントがハッキングされてログインできなくなるまで、気付かないかもしれません。
対策
- このアカウントの2段階認証を有効にする。
- 普段メインで使っているメールアカウントに別のフォルダーを設けて、そこにこのメールアカウントに届いたメールを転送するよう設定する。
3. パスワードマネージャー
パスワードマネージャーアプリを利用していて、別のパスワードマネージャーに乗り換えることにした場合、どんなことになるでしょうか。新しいパスワードマネージャーにデータを移すことになりますが、それまで使っていたパスワードマネージャーの中には、登録済みのアカウントIDとパスワードが残ったままです。そのうち半分くらいは、今後も変更されることはないのではないでしょうか。ということは、前に使っていたパスワードマネージャーのアカウント情報を万一誰かが手に入れたとしたら、その人はあなたの持っているさまざまなアカウントにアクセスできるようになります。また、自分のアカウントがハッキングされたと気付いた場合でも、そのアカウントのパスワードがどこからどう漏れたのか、すぐには分からないかもしれません。
対策
- パスワードマネージャーの使用をやめる場合は、そこに登録してあるアカウント情報をすべて削除する。
4. オンラインストアのアカウント
多くのオンラインストアでは、買い物をしやすくするために、クレジットカードまたは決済サービスの情報をアカウントに登録することを勧めています。意識せず惰性で登録する人もいます。頻繁にオンラインストアを利用する人なら、むしろ積極的に登録しておきたいと考えるでしょう。オンラインストアのアカウントには、決済情報以外にも、商品の配達先となる自宅または勤め先の住所や、価値のあるその他個人情報が登録されていることが多いものです。
しかし、そのオンラインストアを利用しなくなる日が来るかもしれません。アカウントが生きているままハッキングされると、サイバー犯罪者はあなたに関わるデータにアクセスできるようになります。あなたがハッキングに気付くのは、サイバー犯罪者があなたの名義で何かを買おうとしたときです。もしかすると、すでに購入された後かもしれません。
対策
- クレジットカード情報を、オンラインストアのアカウントにひも付けない。
- カード情報が自動的に保存されるような場合は、保存された情報を削除し、自動保存を解除する。
- オンラインショッピング用に、限度額の低い別のカードを用意することを検討する。
5. 業務用のGoogleアカウント
業務でGoogleアナリティクスなどのサービスにアクセスする必要がある場合は、そのためにGoogleアカウントを別途作成するのが一般的です。個人用アカウントと仕事用アカウントを分けるのは当然のことですから。問題は、転職するときに業務用のGoogleアカウントを削除し忘れてしまう人が多いことです。
一般に、会社で作成したアカウントは、利用者が退職すると情報セキュリティ部門がすぐに停止します。しかし、退職者が自分で作成したアカウント、たとえばGoogleアカウントなどには、気付かないままかもしれません。こうして所有者不明のアカウントがオンライン上に残され、獲物を狙う犯罪者がこのアカウントを発見して業務上の書類やその他機密情報にアクセスする恐れがあります。このようなアカウントのハッキングは、アカウントの存在自体を誰も覚えていないため、検知が大変困難です。
対策
- 退職者側 – 退職してしまった人の方で改めて取る対策はありません。
- 企業側 – 退職した社員が使っていたサービスとGoogleアカウントへのアクセス権を、すべて取り消す。
放置されたアカウントの問題を防ぐには
このように、不要なアカウントであっても、乗っ取られると多くの問題が発生する可能性があります。問題が起きるのを防ぐ方が、起きてしまった後で対処するよりもはるかに楽です。したがって、お勧めしたいのは、自分の所有するアカウントを把握することです。
- これまでにどのオンラインサービスに登録したか、思い出しましょう。SNS、オンラインストア、銀行、その他重要なサービスのアカウントにひも付く電話番号とメールアドレスを洗い出し、使用していない電話番号やメールアドレスが使われていたら、ひも付けを解除してください。
- Facebook、Twitter、またはGoogleのアカウントを別のサービスへのログインに利用していますか?ニュースレターの購読や公共Wi-Fi利用などのために別のメールアドレスや別の電話番号を使用していますか?そのような場合は、該当のアカウントを時々確認するようにしましょう。
- パスワードマネージャー、オンラインストア、またはSNSアカウントの利用をやめる場合は、これらのサービスのアカウントを削除しましょう。
- アカウントへのログインに関する通知を有効にしましょう。また、通知が来たらすぐに確認してください。