カテゴリー: セキュリティ

先日急に、Facebookから見覚えのない怪しいメールを受信しました。「Facebookへのログインに問題があるようです。」という内容になっており、一見するとフィッシング詐欺のように見えました。

使っているサービスから見覚えのないメールが来た場合は、不正ログインかフィッシングサイトの可能性を疑いましょう。どちらかが発生している可能性が高いです。

ということで、Facebookから怪しいメールを受信した場合の対応策をまとめてご紹介します。

不正ログインがないか確認する

まず最初に不正ログインがないかを確認しましょう。Facebookでは、自分のアカウント設定から、ログイン状況を確認することができます。

具体的には、右上のメニューから「設定」を選び、設定画面の「セキュリティとログイン」をクリックします。すると、以下のようなイメージの画面が表示されるはずです。

こちらで、見覚えのないログインが記録としてあれば、不正ログインが発生してる可能性があります。

ただし、ブラウザ等は位置情報を正確に把握していない可能性も高いので、これだけで一概に不正ログインがあった、と言いづらい点はご注意ください。

パスワードを変更する

不正ログインの可能性が否定できない場合は、パスワードを変更しておきましょう。

変更方法は簡単です。同じ「セキュリティとログイン」の画面で、先ほどの「ログインの場所」の下にある「パスワードの変更」を選びましょう。

ポイントは、ある程度複雑な文字列にすることと、他のサービスで使っているパスワードを使い回ししないことです。安全なパスワード管理については、こちらを参考にしてください。

パスワードを安全に管理するために気をつけること＆具体的な対策

ログインされてる端末から全てログアウトする

同じく設定画面で、ログインされている端末からすべて一度ログアウトさせることができます。パスワードを変更したら、必ずこれをやっておきましょう。

最後に予防策を2つご紹介しておきます。

ニ段階認証を設定する

2段階認証で、パスワードが破られてもログインされない対策をとっておきましょう。

二段階認証の概要とそのしくみ | Facebookヘルプセンター

怪しいサイトにフェイスブックログインを渡さない

Facebookの場合、他のサイトにFacebookアカウントでログインできるように連携できる機能が充実しています。これも、よく知らないサイトでFacebookの認証許してしまうと不正にログインできる温床になることがあります。

例えばよくFacebookで占いツールなどが出回っていますがそういうものもよく見ないと、自分が意識しない間によくわからない会社にデータを渡している可能性があるのです。注意しましょう。

今回、不正ログインの可能性が否定できなかったので、パスワードを変更しました。ただ、メールの送信元である「facebookmail.com」というドメインは、正式に利用されているので、メール自体は不正でなかった可能性もありますが。

Facebookmail.comからお知らせメールが届くのはなぜですか。 | Facebookヘルプセンター

なにはともあれ、よく使うサービスの安全な管理を徹底することと、普段からこういう怪しいメールに引っかからないよう注意しましょう。

パスワードが増えすぎて管理が大変になっている

最近セキュリティ攻撃も珍しくなくなり、ハッキングやランサムウェアなどの被害が多数報告されています。その中で、パスワードが漏洩しハッキングされたというものもよく聞きます。

皆さんは、どのようにパスワードを管理されているでしょうか。

最近は、SNSや各種ウェブサービスを利用するために、いろんなところでIDやパスワードが必要になっています。安全にパスワードを管理するために必要な点について、ご紹介します。

覚えるのが大変

実はパスワードのような似たような文字列の組み合わせについては、人間の脳の仕組みでは、パスワードをたくさん覚えるのが苦手なようです。

パスワードと記憶の干渉 – Wikipedia

そうなると、パスワードをちゃんと覚えるために、覚えやすいパスワードを選んでしまう傾向になり、使いまわしてしまうという結果になってしまいます。皆さんが使われているパスワードは、どうでしょうか。

定期的な変更は安易なパスワードを誘発

企業では、パスワードを定期的に変更する、というルールを設けている場合が多いんじゃないでしょうか。これは同じパスワードを長い期間使用していると、どこかのタイミングで漏洩してしまった場合にハッキングを許してしまうリスクが高くなるためです。

これ自体は有効な手段ではあるのですが、前述の通りパスワードを考えたり覚えるのが人間の脳にとっては大変なので、定期的に変更しなければならなくなると、どうしても安直なパスワードを設定してしまいがちになります。なので、パスワードを定期的に変更させれば安心、というだけではないということは、認識しておくべきでしょう。

安全なパスワード管理に必要なこと

では、パスワードはどう設定・管理すべきでしょうか。対策として、以下が挙げられます。

複雑なパスワードにする

まず単純なパスワードは控えましょう。よく言われるように、誕生日や名前、あるいは「password」のような推測しやすいパスワードは、ハッキングされやすくなります。ちなみに、こちらが世界中で多く使われているパスワードです。

世界で1番使われているパスワードは1番ダメなやつです | BUSINESS INSIDER JAPAN

安全に管理するためには、できるだけ長く、推測されにくいものにしましょう。

具体的には、最低でも8文字以上で（できるだけ長く）、英数字・記号を混ぜたものにすると良いです。

パスワードの安全を守るには | トレンドマイクロ：セキュリティ情報

同じパスワードを使いまわししない

攻撃者は、一度盗んだパスワードを使って、同じパスワードで他のサイトもログインできるか試します。

これは、パスワードを使いまわしている人が多いからです。使い回していると、一度攻撃されてパスワードが漏洩すると、他のサイトも被害を受けてしまうんですね。逆に、パスワードをサイトやサービスごとに使い分けておけば、万一パスワードを盗まれても、そのサービスだけに被害を止めることができます。

パスワードを使いまわすのではなく、それぞれで単独のパスワードを設定するようにしましょう。

2段階認証を行う

最近増えているのは、2段階認証です。Googleやアマゾン、フェイスブックなど、主要なサービスは2段階認証に対応しています。

2段階認証というのは、パスワードだけでなく、もうひとつの認証を組み合わせることで、ハッキングしづらくさせるものです。以下に主要なサービスの2段階認証の設定に関する公式ページをご紹介します。よく使うサイトに関しては、2段階認証を設定されておくことをおすすめします。

Google 2 段階認証プロセス

二段階認証の概要とそのしくみ | Facebookヘルプセンター

Amazon.co.jp ヘルプ: 2段階認証を有効にする

以上、パスワードに関する最近の事情を踏まえた対策をまとめました。ちゃんと意識してルール化しないと、つい簡単なパスワードを使い回してしまうので、気をつけてください。

ウェブサイトの運営において、セキュリティ対策は非常に重要になっています。セキュリティ対策がおそろかになると、ウェブサイトの改ざんや情報漏洩など、企業の業績にマイナスな影響を与えたり、企業自体の信用を低下するリスクすらあります。

最近でも、Wordpressの脆弱性から多くのサイトが改ざんの被害を受けました。

WordPress の脆弱性対策について：IPA 独立行政法人 情報処理推進機構

ユーザーもセキュリティに対して敏感になっており、セキュリティが不十分なサイトは、信頼を低下させてしまう恐れが今後高まっていくでしょう。

そして、今回はセキュリティ対策のひとつであるSSLについて、説明しておきたいと思います。

SSLの重要性が増している

最近ではSSL通信によってサイト全体を保護することが、Googleを中心に推奨されてきています。

SSLとは、簡単にいえばそのウェブサイトとの通信を暗号化し、安全にやり取りするための仕組みです。SSLの説明は以下がわかりやすいです。

SSL/TLSってなんだろう？｜SSL/TLS-総合解説サイト

ブラウザのアドレスバーに表示されるURLに「https」が含まれており、「保護された通信」と表示されている状態がSSLです。

SSLが多くの人に注目されるようになったのは、2014年にGoogleが、複数ある検索順位を決める要因のひとつに、SSL導入を含めることを発表してからです。つまり、SSLの有無がSEO対策のひとつになるということです。

ただし、SSLの有無が検索順位に影響を与えるのはわずかで、SSLを導入したからすぐに検索順位が上昇するものではない、とも言われています。

どちらかといえば、SEO観点でいえば「長期的にみれば有効」であり、セキュリティ対策の観点からも導入しておくのが望ましい、というのが現時点で言えることでしょう。

独自SSLと共有SSL

SSLには独自SSLと共有SSL（共用SSL）と言う2つの種類があります。ややこしいですね。ウェブサイトのアドレスをそのまま使うためには、「独自SSL」が必要になります。

独自SSL(IPアドレスベース/SNI(ネームベース)) | 機能・オプション紹介 | さくらインターネット

また、共有SSLは価格が安いという特徴がありますが、その名の通り複数のユーザでSSLの証明書を共有することになりますので、やらないよりはやった方が良いのかもしれませんが、それによってサイトの信頼性が向上するかと言われるとちょっと注意が必要です。

WordPressで作られたサイトをSSL化する手順については、こちらの記事が詳しくわかりやすいです。

エックスサーバー独自SSLが無料！WordPressサイトをHTTPS化する方法

ECサイトなど、ユーザーの個人情報や金融情報などを扱うサイトでなければ、すぐにSSLを導入する必要はないでしょう。しかし、長期的にみれば安全なウェブサイトを実現することが今後一層重要になりますし、SEOやユーザーからの信用という点からも有効なひとつの施策となるでしょう。

ぜひ、導入をご検討ください。

「今年一つ目の記事が、セキュリティというのもあまり面白味がないかもしれませんが、年末年始で改めて「中小企業のセキュリティ対策って、どうすればいいんだろうな？」って考えましたので、その内容を整理しておきたいと思います。

中小企業のセキュリティ対策の現状は非常に厳しい

国家や企業、個人など様々なレベルでサイバー犯罪が多くなっており、実際の被害も多数発生しています。2016年にランサムウェアが流行したのは記憶に新しいでしょう。最近の調査結果では、企業の7割はランサムウェアに対してお金を支払っているそうです。

これまではいたずら目的であったり、大企業を対象にした攻撃が目立っていましたが、最近はサイバー攻撃も多様化し、攻撃対象も中小企業や個人を含めて幅広くなっています。

一方で、中小企業のセキュリティ対策状況は、とても厳しいものになっていると言わざるを得ません。

IPAが2015年に実施した「中小企業における情報セキュリティ対策に関する実態調査報告書」を読むと、その厳しさが理解できます。

まず、組織体制を見ると、小規模企業の8割は、情報セキュリティ体制は組織的に行っていないか、わからないとなっています。100人以下の中小企業でも、情報セキュリティ体制が構築されているのは約半分です。

さらに、具体的なセキュリティ対策の質問に対しては、「特に実施しているものはない」が42％で最も高くなっています。ここでも、企業規模が小さいほどセキュリティ対策まで手が回っていないこともわかります。

規模が小さい企業ほど経営資源も限られており、セキュリティ対策まで手が回らないという実情もあると思いますし、知識・ノウハウも限られているとしても仕方ないのかな、とも思います。しかし、このままでいいんでしょうか・・・。

中小企業に「とりあえず今」できること

お金や人、ノウハウなどが限られている中小企業でも、セキュリティ対策を行わないと企業に被害や信用低下を招くリスクがあります。

そこで、まずは「何をやらなければいけないのか、現状どこまでできているのか」を確認しましょう。その方法として、IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」が便利です。

何が便利かって、このガイドラインでは25項目のチェックリストが含まれているのです。P.25に「5分でできる！情報セキュリティ自社診断」というチェックリストがあり、基本的なセキュリティ対策が記載されているので、素早く現状を確認し、対策を考えるには十分といえます。

ただし、いろんな企業に使えるということは、それだけやや抽象的であるともいえます。保有しているIT資産や構成は企業によっても異なるので、本当に具体的な技術対策については、専門家や取引業者に確認するのが良いと思います。

セキュリティが経営と直結している、と言われて久しいですが、それは中小企業でも変わらなくなってきています。まずはセキュリティの重要性を経営者が理解し、やれるところから対策を始めましょう！

あなたは、同じパスワードを使い回してませんか？

使い回しているようだったら、これから書かれていることを読みましょう。

SNSをはじめとするアカウントの乗っ取りは他人事ではないですし、企業も完全に守ってくれるわけじゃありません。LINE、Facebook、Twitterなどのアカウントが乗っ取られるなんてことも、珍しくなくなってきました。

最近だと、偽レイバンの広告がスパムとして出回るってのがありましたね。

気を付けて！次のFacebook乗っ取り事件は友達も巻き添えに！？対処法まとめ – NAVER まとめ

セキュリティ対策は常識になっているので、やっていない人は「迷惑な人」になる恐れがある

アカウントを乗っ取られると、自分の情報が盗まれるだけでなく、スパムを撒き散らしたりします。それによって、さらに被害が拡大していくわけです。SNSでつながっていると、自分の友人に迷惑をかけることになってしまいます。

よくスパムをまき散らす人とは、そりゃちょっと敬遠したくなりますよね？そういうことです。セキュリティ対策は、「やって当然」のレベルまできているんだと思っています。「詳しいことはわからない」では、通用しなくなってますね。

個人でできる対策は簡単で、しかもとても有効

個人でできる対策は、意外にシンプルです。

• 複雑なパスワードにする
• サービスごとにパスワードを変更する
• 2段階認証を導入する

これぐらいでほぼ防げます。なぜなら、よくあるハッキングは、どこか脆弱性のあるサイトから盗んだIDとパスワードを使って、別のサイトで侵入を試みるからです。なので、例えばFacebookとTwitterで同じパスワードを使っていたら、FacebookがハッキングされるとTwitterでもハッキングされる可能性がとても高くなってしまうということです。

で、人はいちいちパスワードをたくさん覚えるのが面倒になってしまうので、できるだけ同じパスワードを使いまわすんですね。その特性を攻撃者は使います。

世界的にも、よく使われるパスワードは「123456」とか「password」とか簡単なものが多くなっています。

2014年でもっとも人気のある、そして危険なパスワードは「123456」(最新) – ガベージニュース

こうなると、攻撃者側は簡単なパスワードを使っているユーザーを狙って、ハッキングをかけやすくなるんですね。

「1Password」を使えば効率的にパスワード管理できる

上記のようにパスワードを複雑にしてサービスごとに変えるってのは、結構面倒ではあります。でも、それもアプリで解決できます。

もう有名なアプリでありますが、「1Password」を使えば、上に挙げた「複雑なパスワードにする」「サービスごとにパスワードを変更する」ということをストレスなくできるようになります。

本当に重要なマスターパスワードを登録しておけば、それ以外のパスワードはアプリが厳重に管理してくれます。ざっくり言えば以下の特徴があります。

• パスワードや銀行口座、クレジットカードや住所情報など、重要な情報を厳重に管理
• サービスへログインする際は、1Passwordが自動で入力
• 複雑なパスワードを発行してくれるので、自分で複雑なパスワードを考える必要もない
• Dropbox等を利用して、複数デバイスでもシームレスに連携
• Windows、Mac、iPhone、Androidに対応

まあ、細かいところは検索してみれば丁寧に解説してくれるサイトがたくさんあります。これでセキュリティレベルを向上させつつ、負担なく管理することができます。

Macの方はこちらから。

1Password 5.1（￥3,500）
カテゴリ: 仕事効率化, ユーティリティ
販売元: AgileBits Inc. – AgileBits Inc.（サイズ: 31 MB）
全てのバージョンの評価: （294件の評価）

Windows版はこちらから。Win+Macのバンドル版もあります。両方買う人はバンドル版がお買い得です。 Agile Online Store

ちなみに、iPhoneやAndroidは無料です。

「1Password」は有料で数千円するアプリですが（セールなどで価格が多少変動します）、ちゃんと情報を管理できると思えば、必要な投資です。ハッキングされるリスクを考えれば安いものだと思いますね。

とりあえずお金かけたくない人は、2段階認証の設定を

有料アプリは嫌だ！という人は、最低でもまず2段階認証の導入から。Facebook、Twitter、Google、LINEあたりは2段階認証を設定できます。これで、自分のスマホ等にパスワードが送られてくるようになりますので、アカウントをハッキングされにくくなります。

Appleも対応したことだし、主要サービスの２段階認証をまとめてみた – ぐーたら書房

ちなみに、アマゾンは2段階認証対応してないので、1Passwordで速攻パスワード変更しました。それ以外も、基本的には使っているサービスのパスワードを複雑なものに変えています。

というわけで、なんとなく同じパスワードを使いまわしている人は、上記の対応をしてみてください。違うサービスで同じパスワードを使いまわさない、二段階認証を設定する。これをちゃんとやりましょう。

ちなみに、最近のセキュリティ動向を学ぶなら、この本ぐらい読んでおけば大丈夫なんじゃないかと思います。

WordPressのセキュリティ対策は行っていますか。ついにというか、管理者アカウント名は定期的に変えなければいけないな、と思う事態が発生しましたのでここに書いておきます。

管理者アカウントを狙った不正ログイン攻撃

WordPressで、管理者アカウント名としてよく使われる「admin」を狙った攻撃が登場したこともあり、セキュリティ対策として毎日攻撃してくるIPアドレスをチェックして、特定のIPアドレスによるアクセスを禁止しています。もう毎日毎日違うIPアドレスから攻撃してくるので、イタチごっこな気分です。

ちなみに、攻撃しているIPアドレスはプラグインの「Crazy Bone」で、特定IPアドレスのアクセス禁止はプラグイン「WP-Ban」を使っています。詳しくは、この記事をご参考に。

WordPressのセキュリティ対策プラグイン | Synapse Diary

攻撃の対象は「admin」という名前だけではない

以前から気づいていたことではありますが、不正ログイン攻撃を行ってくるのは「admin」だけではありません。適当な英語名でランダムに攻撃してくる場合が多くなってきていました。よくありがちな名前をリスト化して攻撃しているのでしょう。攻撃する側としては、ある意味当然の考えであります。

ただ、本当適当な名前だったので静観していたのですが、ついに自分のログイン名でアタックしてきている形跡が見つかりました。いや、見つけたときはちょっと冷や汗でしたね。

一応、複数回ログイン失敗するとアカウントロックするようにしているので、パスワードとの組み合わせもクリアしないと乗っ取られないわけですが、ひとまず防御するために新しい管理者を作成して、今の管理者を削除しました。そのとき、投稿を引き継ぐのを忘れずに。これまで書いた記事が消えちゃうので。

というわけで、定期的に管理者アカウントの名前やパスワードは変更しておきましょう。

セキュリティが重要と言われていますが、ファイルの暗号化が当たり前になってきています。

そして、ファイル圧縮・解凍でよく使われる+Lhacaデラックス版で、ファイル暗号化もできます。

+Lhaca　デラックス版

ただ、暗号化の方法がちょっとわかりづらいんですよね。。。。

+Lhacaは、単純にアイコンをダブルクリックすると、こんな画面が出ます。これだと、どこにもパスワード設定がありません・・・。

だけど、Shiftキー押しながらアイコンをダブルクリックすると、違い画面が出ます。

これで、「表示」メニューから「上級者用設定」を選択。

上級者オプションが出ます。ここで、「パスワードを設定」をONにしておけば、ドラッグなどで圧縮かけたときに、パスワードの入力画面が出るようになります。

重要なファイルには、ぜひ暗号化を。