今ネットサービスがたくさんあるので、どこに登録したのか個別に覚えていられる状態じゃなくなり、IDとパスワードをどうしても共通のものにしがちなんですよね。

この「使い回し」が不正にログインされる主な原因です。

加えて簡単なパスワードを使ってしまう人がいます。

これを見てください。情報セキュリティー企業がまとめた日本人のパスワードランキングです。

「123456」とか「000000」とか、いろんなサイトで使うので覚えようと思うから、簡単なものになりがちなのが実態です。

「1qaz2wsx」とかですよね。これだったらばれないと思うかも知れませんが、これ実はキーボードの並びになっているんです。

そもそもなぜこの企業はランキングがわかるのかというと、実際に使われているパスワードがIDと一緒にネット上に流出しているからなんです。

だから1つサイトから流出すると、同じパスワードを使っている別のサイトにも不正にアクセスされることになり芋づる式に被害が拡大します。

このことをまず、知っておいてほしいです。

もう覚えるのはやめましょう。

覚えるのは無理なので記録しましょう。

私はパスワード管理ソフトを利用しています。パソコン用もスマホ用もあります。

ID、パスワード、使うサービスのURL、これをセットで記録できます。

絶対にないとは言えませんが暗号化して保存できるし、ウイルス対策ソフトにも標準機能としてついているものもあるので、暗記して使いまわすよりはリスクが少ないです。

地道にパスワードを変更したほうがいいです。

流出しているかどうか確認できるサイトもありますので活用するのも手です。研究者が作成して無料で公開しているものです。

私のメールアドレスを入力すると、「漏れてます」って出ましたね。

どうやら自動車保険の会社からメールアドレスと車種などの情報が流出したようです。

このように漏れているのがわかったらすぐに変えた方がいいですね。

最近の研究では、文字の種類の多さよりも長さが大事で、長ければ長いほどパスワードを破るのに必要な計算が難しいといわれています。

20桁以上を推奨している研究者もいます。

ただパスワード管理ソフトを使えばコピペするだけで入力できるので、30桁でも100桁でも設定することができます。

正直、あまりよくないです。多くの金融機関ではブラウザーにパスワードを保存して自動入力する機能の利用は推奨していません。

自動入力にしてしまうと、本来、そこではパスワードを手入力するという作業の「ハードル」がなくなるので、なりすまされてログインをされてしまうと、五月雨式に、不正ログインを許すことになりかねないからです。

手入力は正直面倒くさいことですが、セキュリティーと利便性は表裏一体。

ここ数年、情報セキュリティー業界で流行している発想に「ゼロトラスト」というものがあります。

そうです。他人を信用しないとか、他のシステムを信用しすぎないというイメージで、それぞれできる個々の対策をし続けようという発想です。

セキュリティー装置という関所を1つだけ設置するのではなくて、その先にも、関所を設置しておく。この考え方は知ってほしいですね。

攻撃者側も最初はデタラメに送っています。

その中で、アドレスが存在せずに届かないものを除いていくと「使えるメールアドレスリスト」ができ上がり、悪用されているといえます。

メールアドレスを自ら公開していなくても、そのアドレスでショッピングサイトに登録していると、そこから流出するおそれもあります。

たくさん届きます。

職業柄、偽のメールを保存していますが、一日に何通も届きます。中身をみてみると、みんなほぼ同じ文面なんです。

メールの中のリンクを押すと偽のサイトに誘導され、ID、パスワード、クレジットカード情報を入力させて盗み取ろうとします。

これはフィッシングという手口です。

フィッシングの手口は、年々、巧妙化しています。

実は私もだまされた経験があります。

あるネットサービスを契約していて、年に1度、支払いをしていました。

その更新時期にたまたま偽メールが来たのですが、いわゆる身に覚えのある内容だったので、手続きしないといけないと思ってしまったんですよ。

更新について知らせてくれてありがとう、ぐらいの気持ちで。でも、だまされたことにすぐ気づきました。

更新手続きをしたのに、すぐまた同じメールが来たんですよ。「更新してください」と。

あれ、更新したはずなのにおかしいなぁと思って検索したら、偽物だと発覚しました。

カード番号を入力してしまっていたので、念のためカード会社に連絡してカードを止めました。

そうなんです。カードの不正利用の被害額は残念ながら増加傾向です。

2021年は、約330億円でしたが、2022年は3割以上も増えて、約436億円と、過去最悪を更新しました。

今の時代、自分のカードが不正利用されていないか毎月、明細を見て利用額を確認することは絶対に必要です。

カード会社の規約には補償制度や補償期間が記載されています。

自分の利用でないことが明白になれば、例えば利用から60日間の間に気づくことができれば払わなくて済む可能性があります。

いま、利用明細自体は紙ではなくネット上で確認することが多くなっていると思うので、わざわざ見に行く習慣を作ることが大切ですね。

だまされて感じたことは、もう「心当たりのないメールは開かない」ということで防げる時代ではないということです。

ふだんから気を付けていても、複数の仕事を抱えているとか、プライベートで心配事があって集中できないとか、バタバタしている時とか、誰にでもだまされやすい隙があると思います。

これまでは、身に覚えのないメールは開かないとか、アドレスから偽サイトを見破る、偽サイトに個人情報を入力しない、ということが言われてきたんですが、それでも被害が増えているんですね。

いまは身に覚えのあるようなメールが来ますし、偽サイトも本物と見分けがつかないほど精巧に作られています。

はい。最近の議論されている対策は、本物のメールであっても「メール本文に書かれているURLをクリックしない」ということです。

つまり、もう偽メールや偽サイトは見破れると言いがたいので、そもそも見破る努力をやめましょうと。

ネットで何か買い物したい、利用確認したいというときは、公式サイトをブックマークしておいて、そこからしかアクセスしないようにしたほうがいいです。

あとSNSを利用したフィッシングにも気をつけて下さい。

広告に偽サイトのURLが載っているとか、著名人をかたったアカウントで偽サイトを宣伝するとか。「すごいいい商品見つけたよ」と口コミのように投稿して偽サイトに誘導するものもあります。

友人だと信じたまま、LINEの2段階認証のパスコード4桁を教えてしまうケースもあります。

自分のアカウントがやられてしまうと、自分が金銭的に被害にあうだけではなく、他人に迷惑がかかるというのは、SNS時代の被害の特徴といえるかもしれません。

ポイントはシンプルです。

1つはパスワードをちゃんと管理すること。2つ目は、ソフトウエアのアップデートを欠かさないことです。

3つ目は、よくある犯罪の手口や特徴を認識しておくことが必要です。

高度な技術的対策はもちろん重要なのですが、犯罪組織側も、それを突破するのは難しいとなったときに、狙うのは「人」なんです。

偽メールで偽サイトに誘導とか、流出パスワードの再利用といった、人間を相手に攻撃したほうが楽なんですね。

それに引っかからないようにどうしたらいいか考えることが、1人ひとりに求められています。