今やどこを向いても、誰かがアカウントセキュリティやプライバシーに関するアドバイスをくれます。自分の大切なデータを守るさまざまな方法について教えてもらうのは、悪いことではありません。
ですが、いろんなセキュリティ対策をとってはいるけれど、実際に効果があるものなんてあるのだろうか…と思ったことはありませんか?
Googleが動き出した
まさにそう思ったのがGoogleでした。
同社はニューヨーク大学とカリフォルニア大学サンディエゴ校の研究者とチームをつくり、アカウントハイジャック35万件以上を分析し、ごく基本的なセキュリティ対策で、どの程度までユーザーのアカウントを守れるのかを確かめました。
その結果、基本中の基本のテクニックでさえ、ポケモン風に言うと「こうかはばつぐんだ!」であることがわかりました。
たとえば、疑わしいサインインが検出されたら、Googleからのテキストメッセージが届くように「再設定用の電話番号」を設定する場合がそうです。
これは、Googleアカウントで利用できる、もっとも基本的なセキュリティ設定です。
なんだ単純な話じゃないか
この対策について、さまざまな攻撃を網羅した今回の調査から得られた結果は、まさに明快そのものでした。
Google Blogには次のように書かれています。
今回の調査では、アカウント再設定用の電話番号にSMSコードを送信するように設定するだけで、ボットによる自動攻撃の100%、不特定多数を狙ったフィッシング攻撃の96%、標的型攻撃の76%をブロックできることが示されました。
「端末上のプロンプト」をオプトイン(2段階認証)すれば、あなたのアカウントに侵入するのはさらに難しくなります。
この場合、悪意を持った者がログイン要求を認証するためには、SMSメッセージを傍受してSMS認証を破ったり、「SIMハイジャック」したりするのではなく、スマホやタブレットに物理的にアクセスしなければなりません。
今回の調査から得られた統計データによれば、2段階認証により、ボットによる自動攻撃の100%、不特定多数を狙ったフィッシング攻撃の99%を防げたそうです。
標的型攻撃に対しても、単にSMSベースの認証を利用した場合(76%)よりも、はるかに大きな効果(90%)を発揮したそうです。
ハッキングを防ぐもっとも確実な方法
さまざまなハッキング行為を防ぐ安全対策として、もっとも確実な方法にランクづけされたのが「セキュリティキー(別名:ハードウェアトークン)」だったことは、ほとんど驚くに値しないでしょう。
今回の調査では、セキュリティキーは攻撃の100%をブロックしました。
一方、予備のメアドや電話番号などのユーザーに関する情報を入力して認証するだけのやり方には、さほど効果はありませんでした(ボットによる自動攻撃は別として)。
ただし、あなたが利用しているサイトやサービスが、必ずしもハードウェアトークンに協力的とはかぎりません。
セキュリティアプリも有効
そのような場合には、iOS・Android対応の人気アプリ『Authy』があります。
このアプリを使えば、2要素認証のためのログインコードに、あなたがそのコードを使うすべてのサイトで簡単にアクセスできるのです。
パスワードマネジャー『1Password』も、あらゆるサイトで2要素認証コードを管理するのにもってこいのアプリです。
このアプリの「Watchtower」機能は、あなたが頻繁に訪れるどのサイトが2要素認証に対応しているのかを確かめるのに便利です。
すべてのログインに2要素認証を利用しない手はありません(もしイヤなら、せめてSMS認証を利用しましょう)。
今回のGoogleの調査は、こうした対策がアカウントセキュリティにとってとてつもなく重要である理由を、改めて浮き彫りにしています。
――2019年6月10日の記事を再編集のうえ、再掲しています。
訳:ガリレオ
