政府が毎年2月1日から3月18日に実施している「サイバーセキュリティ月間(※1)」に合わせて、ヤフーでは「サイバーセキュリティマンデー(※2)」を実施中です。
セキュリティ意識の向上を目的に、サイバーセキュリティに関する情報を当ウェブサイトや公式Twitterなどで発信しました。
今回は、そのコンテンツの中から、ウェブサイトやアプリにログインするためのパスワードに関して、トラブルにあってしまいがちなシーンをご紹介します。
パスワードを安全に利用するために実践できることを、改めて確認してみてはいかがでしょうか。
※1 サイバーセキュリティ月間(内閣サイバーセキュリティセンター)
※2 Yahoo! JAPAN、セキュリティ意識の向上を目的とした情報発信企画「サイバーセキュリティマンデー」を実施(プレスリリース)
セキュリティリスクから守るパスワードレスログインのメリットと設定方法
ヤフーでは、セキュリティリスクから身を守るための方法として、パスワードレス利用のための生体認証を推奨しています。以下の記事では、生体認証によるログインのメリットと設定方法をご紹介しています。
パスワードレスは、第三者による不正アクセスのリスクを低減できる「安全性」と、パスワードを覚えておく必要がなく簡単に認証できる「利便性」が特徴です。
・セキュリティリスクから守るパスワードレスとは? 生体認証によるログインのメリットと設定方法
パスワードを覚えるのが苦手な女性に起きた悲劇
「パスワードを覚えるのが大変」というこの女性に、共感される方は多いのではないでしょうか。
2022年にヤフーが実施した調査によると、パスワードを忘れてログインできなかった経験がある人は、約87%でした。
そのため、忘れないようにメモを書いて、身近なところに保管しておきたくなるかもしれませんね。ですが、メモ書きしたパスワードとスマホを一緒に持ち歩くことは大きなリスクを伴います。
なお、パスワード設定に関して、Twitterでは以下のアンケートも呼びかけました。
//
— Yahoo! JAPAN(ヤフー) (@Yahoo_JAPAN_PR) February 27, 2023
2/1~3/18は
#サイバーセキュリティ月間
\\
パスワードを覚えるのが苦手な女性に起きた悲劇。
この場合のNG行為は?
1.パスワードが数字の羅列
2.パスワードをメモ書きして持ち歩く
3.全て同じパスワードにする
4.覚えられないパスワードを設定する
答えはリプでpic.twitter.com/nUcSR4H1Rn
この場合のNG行為は?
- パスワードが数字の羅列
- パスワードをメモ書きして持ち歩く
- 全て同じパスワードにする
- 覚えられないパスワードを設定する
4以外すべてNGです。1は推測が可能なため、リスクがとても高くなります。2は前述の通り、紛失して悪用されてしまうおそれがあります。また、3は1つのウェブサイトやウェブサービスでパスワードが流出してしまった際のリスクが高まります。
4に関して、手間はかかりますが、覚えられないほど複雑で強固なパスワードを設定し、セキュリティ設計されたパスワード管理ツールを活用するという手法は有効です。
パスワードを使い回していた男性に起きた悲劇
パスワードを忘れてしまうなどの理由から、同じパスワードを複数のサービスで使い回してしまっている方もいらっしゃるのではないでしょうか。
2022年にヤフーが実施した調査の結果、約61%の人がパスワードを使い回していると回答しました。利用するウェブサイトやアプリごとに異なるパスワードを設定するのは大変ですが、同じパスワードを使い回すことでセキュリティリスクが高まります。
なお、フィッシング詐欺について、Twitterでは以下のアンケートも呼びかけました。
//
— Yahoo! JAPAN(ヤフー) (@Yahoo_JAPAN_PR) February 28, 2023
2/1~3/18は
#サイバーセキュリティ月間
\\
パスワードを使い回していた男性に起きた悲劇
この場合なにをすれば防げた?
1.メールアドレスをよく確認する
2.ウェブサイトのURLなどをよく確認する
3.公式サイト・アプリからのログインを徹底する
4.SMS認証を設定する
答えはリプでpic.twitter.com/mf4HaidgWY
この場合は何をすれば被害を防げた?
- 怪しいメールは、メールアドレスをよく確認する
- 怪しいメールは、ウェブサイトのURLなどをよく確認する
- ブックマークした公式ウェブサイトや公式アプリからのログインを徹底する
- SMS認証を設定する
正解は、3です。セキュリティ監視室Yahoo Japan Corp. CSIRT(シーサート:情報セキュリティ問題を専門に扱うインシデント対応チーム)の担当者は、「フィッシング詐欺で使われるメールアドレスやウェブサイトは巧妙になっているため、フィッシングサイトの見分け方はない」と話しています。そのため、1と2で防ぐことはできません。なお、4について、かつては有効でしたが、最近はSMSのワンタイムパスワードも盗むタイプが出てきているため油断は禁物です。ヤフーが提供する生体認証ならばFIDOという仕組みを利用しているため、こちらはフィッシング対策に有効です。
被害にあわないための有効な対策として、
・公式アプリ、ブックマークからアクセスすること
・パスワードを無効化して(パスワードレス化)生体認証などに切り替えること
を推奨しています。
・フィッシング詐欺の被害を防ぐために
まとめ
今回お伝えした内容も含め、すでに対策をしっかりされている方も多いと思います。
ヤフーでは引き続き、最新のテクノロジーも活用しながら、セキュリティ対策のアップデートを行っていきます。その取り組みのなかで、たとえば生体認証でのログインのように、ユーザーのみなさまにご理解、ご対応いただく必要が生じる施策もあります。
一人でも多くの方に、インターネットの利便性とリスクはとなり合わせであることを認識していただき、サイバー犯罪の被害にあわないためにできることを意識して行動していただけたらと思います。