ここ数年で私たちがインターネットバンキングなどのWebサイトやアプリに、パスワードともう1つの認証方法の両方を使用してログインすることが習慣化しました。認証方法には、メール、Eメール、プッシュ通知で送信されるワンタイムパスワード(OTP)、認証アプリで生成されたコード、または専用のUSBデバイス(「トークン」)などがあります。このようなログイン方法は、2要素認証(2FA)と呼ばれ、ハッキングされるリスクを低減します。パスワードの漏えいや推測だけでは、アカウントを乗っ取ることはもはやできません。しかし、どこにもログインしようとしていないのに、突然ワンタイムコードが送られてきたり、確認コードを入力するように要求された経験はありますか?このブログではそんなときの対処法を解説します。
このような状況が起こりうる理由は3つあります。
- ハッキングの試み。ハッカーが何らかの方法であなたのパスワードを学習、推測、または窃取し、それを使用してアカウントにアクセスしようとしています。ハッカーがアクセスしようとしているサービスから受け取ったメッセージ自体は、正当なものです。
- ハッキングの準備。ハッカーがあなたのパスワードを知ってしまったか、またはあなたを騙してパスワードを開示させようとしています。この場合のOTPメッセージは、フィッシングの一種です。メッセージは本物と非常によく似ていますが、偽物です。
- 単なる間違い。オンラインサービスは、最初に携帯メールで確認コードを要求し、次にパスワードを要求する、または1つのコードだけで認証するように設定されていることがあります。この場合、他のユーザーがタイプミスをして、自分の電話番号やメールアドレスではなく、あなたのものを入力した可能性があります。その結果、あなたがそのコードを受け取ることになります。
このように、このメッセージの背後には悪意がある可能性があります。しかし、幸いなことに、この段階では取り返しのつかない被害は発生していません。適切な対処をすれば問題を回避することができます。
コードリクエストが届いた場合
最も重要なことは、メッセージが「はい/いいえ」形式の場合は確認ボタンをクリックしないこと、どこにもログインしないこと、受信したコードを誰とも共有しないことです。
コードリクエストのメッセージにリンクが含まれている場合は、リンクをたどらないでください。
これらは、誰にでもできる最も重要なルールです。ログインを許可しない限り、あなたのアカウントは安全です。しかし、あなたのアカウントのパスワードが攻撃者に知られている可能性は極めて高いでしょう。したがって、次にすべきことは、このアカウントのパスワードを変更することです。手動でWebアドレスを入力し、関連するサービスのページに移動します。メッセージのリンクをたどってページに移動してはいけません。パスワードを入力し、新しい(ここが重要です!)確認コードを取得してから、それを入力します。次に、パスワード設定に移動し、新しい強力なパスワードを設定します。別のアカウントで同じパスワードを使用している場合は、そのパスワードも変更する必要がありますが、アカウントごとに一意のパスワードを作成するようにしてください。多数のパスワードを覚えておくのは大変だと思います。そこで、専用のパスワードマネージャーに保存することを推奨します。
このパスワードを変更するステップは、急ぐ必要はありませんが、先延ばしも禁物です。銀行など貴重なアカウントの場合、OTPがテキストで送信されると、攻撃者が傍受しようとする可能性があります。OTPの傍受は、SIMスワップ(新しいSIMカードを番号に登録すること)や、SS7通信プロトコルの欠陥を利用した通信事業者のサービスネットワーク経由の攻撃によって行われます。したがって、悪意ある第三者がこのような攻撃を試行する前に、パスワードを変更しておくことが重要です。一般的に、テキストで送信されるワンタイムコードは、認証アプリやUSBトークンよりも信頼性が低くなります。最もセキュアで、使用可能な2要素認証方式を常に使用することを推奨します。各種の2要素認証方式のレビューは、こちらを参照してください。
大量のOTPリクエストを受信した場合
ログインを確認させようと企んで、ハッカーが大量のコードを送りつけてくることがあります。ハッカーが何度もアカウントへのログインを試みるのは、あなたが間違えて「確認」をクリックするか、大量メッセージのしつこさに耐え切れずに2FAを無効化するかの、いずれかの行動を期待しているためです。大切なのは、冷静さを失わず、どちらの行動もとらないことです。最善の方法は、前述の通りサービスのサイトに行き(リンクからではなく、手動でサイトを開く)、すぐにパスワードを変更することです。しかしそのためには、自分自身で正当なOTPを受け取り、入力する必要があります。一部の認証リクエスト(たとえば、Googleサービスへのログインに関する警告)には、「いいえ、私ではありません」というボタンが別に用意されています。通常、このボタンをクリックすると、サービス側の自動化システムが攻撃者と新しい2FAリクエストを自動的にブロックします。別の方法として、最も便利とは言えませんが、スマホをマナーモードか機内モードに切り替えて、コードの大量送信が一段落するまで30分ほど待つという方法もあります。
誤って知らない人のログインを確認してしまった場合
これは最悪のケースです。攻撃者にアカウントへの侵入を許してしまった可能性があるからです。攻撃者は、すぐに設定やパスワードを変更するので、あなたは迅速に対処しなければなりません。このシナリオに関するアドバイスは、こちらで参照できます。
自分の身を守る方法
この場合の最善の防御方法は、犯罪者より一歩先んじることです。「汝平和を欲さば、戦への備えをせよ」という格言に従いましょう。そこで役に立つのが、当社のセキュリティソリューションです。このソリューションはメールアドレスと電話番号の両方にリンクされたアカウントの流出を、ダークウェブも含めて追跡します。家族全員の電話番号とメールアドレスを追跡対象として登録できます。アカウントデータが公開されたり、流出したデータベースから発見されたりした場合、カスペルスキー プレミアムはアラートを通知して対処方法をアドバイスします。
サブスクリプションに含まれるカスペルスキー パスワードマネージャーは、侵害されたパスワードについて警告し、パスワードの変更を支援します。強度が高く解読困難な新しいパスワードの生成も可能です。また、2要素認証トークンを追加したり、Google Authenticatorから数クリックで簡単にコードを転送したりすることもできます。個人ドキュメントをセキュアに保管可能なストレージは、パスポートのスキャン画像や個人的な写真など、最も重要なドキュメントやファイルを暗号化された形式で保護し、自分だけがアクセスできるようにします。
さらに、ログイン、パスワード、認証コード、保管されたドキュメントは、パソコン、スマホ、タブレットなど、任意のデバイスからアクセス可能です。万が一スマホを紛失しても、データもアクセスも失うことなく、新しいデバイスで簡単に復元することができます。また、すべてのデータへのアクセスに必要なパスワードはメインパスワード1つだけです。このパスワードは、ユーザーの頭以外の場所には保存されません。また、銀行標準のAESデータ暗号化に使用されます。
「ゼロ開示原則」により、当社の社員であっても、ユーザーのパスワードやデータにアクセスすることはできません。当社のセキュリティソリューションの信頼性と有効性は、多くの独立系機関によるテストによって検証されています。最近の例を1つ挙げると、ヨーロッパの独立系機関であるAV-Comparativesによるテストにおいて、当社の個人向け保護ソリューションは2023年の年間最優秀製品賞を受賞しています。