インターネットが一般家庭に普及し始めてから30年ほど、スマートフォンにより自宅以外でも快適にインターネットできるようになってから10年ほど経過している現代において、メールアドレスは最も一般的なアカウントとして認知されているでしょう。
通販サービスにしても、動画サービスにしても、その他のWebサービスにしても、メールアドレスをキーとした非常に多く、人によってはメールアドレスを複数使い分けている方もいるかと思います。
そんなメールアドレスですが、我々ユーザの知らないうちに、世界に流出している恐れがあります。しかも、アドレスだけでなくパスワードも併せて。
今回は自身のメールアドレス情報がダークウェブに流出していないかを確認する方法について紹介していきます。
gmail(Googleアカウント)の場合
Googleアカウントの場合、アカウントの管理ページからチェックすることができます。また、Googleアカウントについてはパスワードの使い回しや、流出した可能性があるパスワードのチェックも可能です。
①「Googleアカウント」→「セキュリティ」に移動
②画面中部くらいの「メールアドレスがダークウェブ上にないかどうかを確認」から、「GoogleOneでスキャンを実行する」を選択
③遷移先で「スキャンを実行」を選択
少し待っていると、チェック結果が表示されます。
Google以外のメールアドレスの場合
大手のセキュリティ企業がメールアドレスを入力するだけでチェックできるツールを公開しているので、そこからチェックが可能です。(Googleのアドレスもここでチェックできますが、Googleアカウントページでチェックするより、恩恵は少ないです)
今回は例としてNortonのツールを紹介します。
このサイトでは操作手順が丁寧に解説されているので、ここでは割愛します。
他にも、スマートフォン用のセキュリティアプリでも、同様の機能を確認できました。
流出していた場合、どうするの?
ここからは、流出してしまっていた場合の対応内容について記載していきます。
パスワードを変更する
メールアドレスと一緒にパスワードが流出している可能性があるので、パスワードを特定しづらいものへ変更しましょう。
パスワード管理アプリなどで生成したランダムなパスワードを用いるのも効果的です。
また、メールアドレスに紐づくパスワードだけでなく、同様のパスワードを利用しているサービスのパスワードも変更しておくことをおすすめします。
二段階認証を設定する
メールアドレス(アカウント)とパスワードの認証に加え、別の手段での認証を追加します。
メールアドレスやSMSにワンタイムパスワードが送られ、それを入力することで認証できるものや、Google Authenticatorなどのワンタイムパスワードを生成するアプリを利用するものがあります。
サービスにより対応状況や認証手段がまちまちですが、効果は高いので対応しているサービスであれば必ず設定するようにしましょう。
これから気をつけること
パスワードを特定しづらいものにする、二段階認証を利用するのはもちろんのこと、それ以外にも普段から意識できることもあるかと思います。
定期的にパスワードを変更する
長期的にパスワードを変更していないと、その分セキュリティを脅かす攻撃者に隙を与えてしまうことになるので、定期的なパスワードの変更をおすすめします。
二段階認証を利用していればそんなに頻繁に変える必要はないと思いますが、利用していないサービス、対応していないサービスについては、定期的に変更する意識が重要です。
毎月月末に登録サービスのパスワードを変更するなど、ルーティン化するのが良いでしょう。
しかしながら、やっぱり面倒くさくなりがちなので、利用サービスを絞るというのは重要かと思います。少なければ変更の手間もさほどかからないので。
不要なアカウントを削除する
ウェブサービスに登録することが少なからずリスクとなるので、未使用のサービスはアカウントを削除してしまった方が安心です。
現代は膨大なウェブサービスしており、会員登録ありきの場合が多いですが、登録してから使い続けているサービスはそれほど多くないはずです。
メールアドレスについても同じで、学生時代に作って今は利用していないアカウント、みたいなものは削除してしまってもいいでしょう。
むやみやたらにアカウントを作らない
会員登録ありきのウェブサービスが一般的に普及しているのは上述しましたが、これらのサービスにむやみやたらに登録してしまうと、流出のリスクが上がり、アカウント管理のコスト(定期的なパスワードの変更など)も高くなってしまいます。
アカウントを作る前に、本当に会員登録が必要かどうか考えることが重要です。
流出した場合、どんなリスクがある?
以下のように様々なケースがあります。メールアドレスを会員登録に利用することも多いので、特にパスワードが使いまわしになっているとリスクが上がるのが分かると思います。
個人情報の漏洩
氏名、住所、電話番号などの個人情報が公開され、身元が特定される可能性があります。また、上記の情報が二次利用される危険性もあります。
プライバシー侵害
個人的なメッセージや写真などが公開され、プライバシーが侵害される可能性があります。
ソーシャルエンジニアリング攻撃
ハッカーが漏洩した情報を利用して、詐欺やフィッシングの攻撃を行う可能性があります。
アカウント乗っ取り
流出した情報を使って他のアカウントにアクセスし、悪用される可能性があります。
信用情報の悪用
金融情報やクレジットカード情報が漏洩している場合、金銭的な被害が発生する可能性があります。
偽のアカウント作成
漏洩情報を使って被害者の偽のアカウントが作成され、そのアカウントを通じてさらなる攻撃が行われる可能性があります。
参考:どうやって流出するの?
ダークウェブで取引されたアカウントの情報が、コンボリストと呼ばれる過去のデータをまとめたリストとなり流出するようです。
参考サイトです↓
まとめ
ここまでのまとめをざっくりやって終わりにします。
- 二段階認証は必須
- パスワードは定期的に変更する
- サービスは絞る
上記を心がければ、データの流出のリスクを下げることができるでしょう。
最後に
恐らく、ネットリテラシーがガバガバだった昭和生まれ(自分も含め)くらいの世代の人の方が昔から育てているアカウント(死にアカウントも含め)が多く、ガバいと思う。リスクが高くなっているはず!
当時は今みたいに二段階認証とかなかったし、パスワード弱くて適当でも登録できたし。
新卒の若者の方がよっぽどセキュリティ意識高いんじゃなかろうかって思うので、我々昭和生まれの民も頑張って意識したいところですね。
もう一回新卒やってチヤホヤされてえ。なんか最近上司からもおっさん扱いされてる気がするんだよな。仲間が増えて嬉しいみたいな感じなんか?ようこそってやつか?
残念ながらまだそっちには行かんぞ。今年から人間ドッグだけど。