2020年9月24日 本日の鹿児島県北西部は雨。

最近何度かセキュリティについて尋ねられることが有ったので備忘録的に。


IMG_20191006_154252


なりすまし と 乗っ取り

ドコモ口座の件でお客様と話していた時に、この件が「なりすまし」なのか「乗っ取り」なのかと問われました。結論を言えば「両方」です。なりすましというのは、オリジナルを模倣したHPなりSNSアイコンだったりを作成して、第三者に勘違いをさせることで、何某かの利益(自己満足感等)を得ようとするタイプのもの。「乗っ取り」は正当な権利者ののサービスへのアクセス権を不正に取得して、サービスに付随する情報資産を丸ごと奪ってしまえる状態にする行為です。ドコモ口座の場合は、誰かになりすましてdアカウントを作成し、そこへ不正に取得した銀行口座を紐づけることで銀行へのアクセス権を乗っ取って犯行を行っているのです。まとめると、なりすまし=虚偽の本人へ誘導する行為  乗っ取り=本人の権利を奪う行為 と言えると思います。明確に犯罪と言えるのは「乗っ取り」の方で、なりすまし自体は法的にはセーフです。

乗っ取り
明確に犯罪である「乗っ取り」ですが、かなり古くからある犯罪です。特定の個人に対して不正アクセスした場合を乗っ取りと言う場合が多いですが、アクセス権の無いサービスへ不正にアクセスすることはある意味「乗っ取り」だと私個人は考えています。ですので、個人の個々のサービス(各種SNS 決済サービス ブログサービス 掲示板等々)について、乗っ取り対策と不正アクセス対処は同じです。個別に特別な防御方法などは存在していません。でわ、不正アクセスへの対処とはどういうものでしょうか。

セキュリティ対策(不正アクセス対策)

〇PCやスマホにはセキュリティソフトを入れる。
〇不明な人のメールに掲載されたURLリンクはクリックしない。
〇知人のメール内のURLリンクは知人に確認してから開く。(ウイルスが知人を偽装することがあります)
〇怪しいサイトは覗かない。(アダルト系は不正なコードが100%あります)
〇得体の知れないリンクは踏まない。
〇家族同士でパソコンを共有する場合はそれぞれのユーザIDで使用。
〇不用意にオンラインサポートなどを使わない。
〇フリーWi-Fiの利用は重要情報の無い端末で行う。
〇スマホやPCを他人に貸さない。
〇IDはサービスごとに変更する。
〇パスワードは面倒でも、面倒な桁数と組合せにする。
〇ログインは二段階認証を設定する(できればSMS認証 認証アプリもGOOD)
〇IDとPWは他人に教えない。
〇ログイン通知がメールで届くように設定にしておく
〇長く使っていないようなサービスは退会処理する。
〇Facebook Twitter Google 等のアカウントをできるだけ他と連携したり、ログイン権を許可したりしない。(地図アプリとGoogleの連携のような利便性の高いものは自己責任で)
〇無料アプリや連携アプリの使用は「許可されるアクセス権」を慎重に判断。
〇不正アクセスに気付いたら、直ぐに警察へ(不正にアクセスされている証拠は押さえて)
〇警察へ連絡が済んだら弁護士に対応を相談しに行きましょう。

雑感
そんなことをお客さんと話していました。しかし、これだけネットが複雑に絡み合う時代になってしまうと便利さを取るか、安全を取るか・・・判断が悩ましいですね。今回のドコモ口座の事件は特定の個人が標的ではなく、生きている口座を総当たりする方法が使われていて、誰でも被害に会う可能性があるという意味で闇が深いのだとか・・・ともかく、ネットとは誠に無防備な世界ですので、あまり依存しないように生きるのが吉かと思います・・・現金と対面コミュニケーションの好きな私はそう思いますが、電脳の世界も実現したら肉体は捨てても良いと思う派・・・でもどうせならシステムを運営する側になった方が良さそうだなぁと思ったり思わなかったり。未来、仮想空間上の私達は個性を保っていられるのでしょうかねぇ・・そして誰に管理されているのでしょう・・セキュリティも含めて今から考えておくべき事だと思います。