EVENT | 2019/12/18

SNSアカウントを乗っ取る不正アクセスが猛威を振るう!二段階認証を使っているからと安心してはいけない

Photo By Shutterstock

伊藤僑
Free-lance Writer / Editor&nbs...

SHARE

  • twitter
  • facebook
  • はてな
  • line

Photo By Shutterstock

伊藤僑

Free-lance Writer / Editor 

IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。

LINEアカウントを乗っ取ろうとする攻撃

SNS利用者にとって、このところ頭の痛い問題となっているのが、アカウントを乗っ取ろうとする不正アクセスの増加だ。つい先日も筆者のところにLINEから、不正アクセスを試みる者がいたことを知らせるメッセージが届いた。

実際に筆者に届いたLINEメッセージ

発信場所が台湾となっていたので、筆者だけをターゲットにした攻撃者ではないようだ。そこで端末名を検索してみると、同一の端末から不正アクセスを試みる事例が多数報告されていることが分かった。流出したID、パスワードのリストを使って手当たり次第に攻撃を仕掛けているのだろう。

筆者は安全のために、パスワードの使い回しはしないようにしているので、他のサービスで利用しているパスワードが流出したとしても攻撃者がLINEにログインできるはずはないのだが、念のためにパスワードを変更しておいた。

また、攻撃者はPC版LINEから不正アクセスを試みていたので、念のためPC版・iPad版LINEからのアクセス許可をオフにすることにした(筆者はスマホからしかLINEを利用していないので)。

スマホ版LINEアプリでPC・iPadからのログインを拒否するには、ホーム画面左上の歯車をタップして表示される「アカウント」をタップし、画像の赤線部分で変更できる

アカウント乗っ取りを狙った不正アクセスが横行しているSNSはLINEだけだはない。利用者の多い人気SNSは全てターゲットになっていると考えた方がいい。

パスワードの使い回しをやめ、二段階認証を導入

多くのSNSでアカウント乗っ取りを防ぐ手段として推奨されているのが「二段階認証」の導入だ。

二段階認証とは、一般的な認証手段であるID/パスワードの組み合わせのほかに、SMSなど用いて、もう一段階の認証手順を加えたもの。

実際の認証手順としては、ログイン画面でID/パスワードを入力すると、認証コード入力画面が表示され、予め登録しておいた自分のSMS宛に認証コードが送られるものや、事前に指定しておいた端末にログインを承認する画面が表示されるものなどがある。

この二段階認証と類似した認証手段に、「二要素認証」と呼ばれるものもある。二要素認証とは、従来のID/パスワードを利用した認証に、生体認証(指紋認証や顔認証など)のような異なる要素を組みあわせた認証手段だ。

いずれの場合も、従来のID/パスワードによる一段階の認証手段に比べれば、遥かに高度なセキュリティレベルを確保できるので、SNSやネットショップなどでは是非とも利用しておきたい。

もちろん、パスワードの使い回しもやめよう。

二段階認証の突破を狙う攻撃も激化!

ただし、二段階認証といえども完璧な安全性を保証するものではない。

サイバーセキュリティ対策で知られるトレンドマイクロによれば、二段階認証(二要素認証)の突破を狙う攻撃が激化しているという。

その手口は、サイトの見た目がそっくりなだけでなく、正規の発行元による有効な証明書を使用したHTTPSサイトを利用することで、利用者にフィッシングサイトを本物だと信じ込ませてしまう巧妙なもの。携帯電話事業者を偽装したSMSを使って、携帯電話事業者のウェブサービスとネットバンキングなどの認証情報の両方を一度に詐取しようとする手段も確認されているようだ。

特に「不審なアクセスを検知したのでパスワードを再設定して欲しい」というようなメッセージがSNSやショッピングサイトなどの運営者から届いた際には、注意が必要だ。そのメッセージに添えられたURLはフィッシングサイトの可能性が高いので絶対にアクセスしてはいけない。

パスワードを変更する場合には、専用のアプリやアクセス履歴などを使って、本物のサイトにアクセスして実行しよう。

アカウントの乗っ取りに用いられる手口の多くは、ハッキングなどテクノロジーを使用したものだけでなく、「ソーシャル・エンジニアリング」と呼ばれる、人の心理的な隙につけ込むアナログな「騙し」のテクニックを組みあわせたものと言われている。

被害に遭わないためには、攻撃者の手口を知り、備えておくことが大切だ。