見落としがちな主要メールアカウントのリスク

2014年10月16日

オンラインアカウントは、すべて平等ではありません。オンラインバンキングやPayPalのアカウントとは違ってファンタジーサッカーのアカウントにはあまり気を配らないのは、いたって自然なことです。セキュリティに少しでも考えを巡らせる人であれば、個人資産に関わるサービスには強力なパスワードを使い、アクセスも慎重に行います。しかし、多くの人は、主に利用するWebメールアカウントには比較的無頓着です。そのメールアカウントが、他のオンラインアカウントすべてのマスターキーとなっていることが多々あるにもかかわらず。

Security-Tips-to-Prevent-Email-Hijack-Attacks

考えてみてください。どのオンラインサービスのアカウントも、設定時に主要メールアカウントの登録が求められます。理由はさまざまですが、サービス提供側がマーケティング活動や広告に利用するため、というのが一番の理由でしょう。最もわかりやすい例は、プロモーションメールの配信です。

利用者側から見た場合に重要なのは、自分のオンラインアカウントが乗っ取られたときやパスワードを忘れたときの復旧手段として、主要メールアカウントが使われている事実です。その意味で、主要メールアカウントはPayPalやオンラインバンキングのアカウントよりも重要かもしれません。このメールアカウントのセキュリティが侵害されれば、PayPalやオンラインバンキングのアカウントも道連れになるのですから。

自分のアカウントがハッキングされると、自分が連絡先として登録している人たちの生活も脅かされることになります。これは子供にインフルエンザの予防接種をさせないようなものです -自分だけでなく、すべての人に影響するのです

Webメールアカウントを掌握した犯罪者は、そのアカウントの持ち主が利用する別のオンラインアカウントの情報を入手でき、それらのアカウントも掌握できてしまいます。つまり、Webメールアカウントをハッキングされることは、デジタルライフすべてをハッキングされるのに等しいとも言えるわけです。

当社はこうした理由から、重要なアカウントには強力なパスワードを使う、2段階認証を有効にする、その他利用可能なセキュリティを利用する、といったことを、絶えず、しつこいくらいに呼びかけているのです。

もっとも、注意が必要なのは主要メールアカウントだけではありません。

GoogleとAppleのアカウントは、サービスの使い方にもよりますが(特にGmailやiCloud)、利用者のオンライン生活と現実生活に入り込むための大きな玄関口となってしまう可能性があります。また、FacebookやTwitterのアカウントも、他のさまざまなオンラインアカウントと連携しているため、重要なものと考えるべきです。特にFacebook Connect機能は、Web上のあちこちで認証代理機能として使われています。

OpenIDも同様のサービスを提供します。そのため、OpenIDのセキュリティが侵害された場合、主要メールアカウントをはじめとする多数のオンラインアカウントにアクセスされる恐れがあります。したがって、OpenIDもしっかり保護する必要があります。

自分が持っているアカウントは、折に触れて自己チェックしましょう。アカウントの設定ページをよく調べ、アカウント同士がどう接続されているか、サードパーティのアプリやサービスとどう連携しているかを確認して、必要に応じた対策をとってください。

手短にまとめましょう。主要メールアカウントは、オンラインバンキングのアカウントと同じように扱う必要があります。公共のコンピューターや見知らぬコンピューターからは、銀行のアカウントにアクセスしませんよね。同様に、主要メールアカウントにもアクセスするべきではありません。自分のものではないコンピューターが安全である保証はないからです。

また、自分のことだけ心配すればいいというわけではありません。

自分のアカウントがハッキングされると、自分が連絡先として登録している人たちの生活も脅かされることになります。これは子供にインフルエンザの予防接種をさせないようなものです -自分だけでなく、すべての人に影響するのです。はしかにかかれば、自分が接触した人ほぼすべてに感染のリスクを負わせるのと同じように。

同様に、自分のアカウントがハッキングされた場合、そのアカウントが攻撃者の道具となり、友人や家族、オンライン上の友人のアカウントが攻撃されます。スキルのある攻撃者は、ハッキングしたアカウントを徹底的に検証し、背景の情報を集め、人間では到底見破ることのできないなりすましメールを作り上げて送信します。強力なアンチウイルス製品であれば、マルウェアを含むメール型攻撃を防ぐことができます。

カスペルスキー製品にはフィッシング対策技術も搭載されており、フィッシングサイトを検知して警告します。フィッシング対策機能を活用して、正規のサービスを装う偽サイトにパスワードとユーザー名をうっかり入力してしまう事態を未然に防ぎ、重要なアカウントを攻撃者から守ることができます。

セキュリティは簡単に実現できるものではありませんが、皆が力を合わせ、ここで紹介した手順を守り、幾重にも保護の層をめぐらせれば、さらに強力な保護を実現できることでしょう。