【セキュリティー】情報社会で生き抜くために求めるITリテラシー【パスワードの話】

技術

みなさん、怪しい人から「アメあげるからこっちおいで」といわれたら逃げるようにと学校の先生や親に言われたことがないだろうか? 
今の世の中は情報化社会。このような誘い文句が情報化社会の中で行われている。

そして私たちの生活とITは密接に関係しており、その親密度は日々濃くなっている。
つまり、情報化社会の中でも自分のことは自分で守ることが必然的といえるだろ。

しかし、IT企業にも勤めていない方からすると、正直何に気を付ければよいかわからない。
そのような方向けに最低限、情報化社会で私が必要だとおもうセキュリティに関するリテラシーを提供できればなと思う。

パスワード

パスワードを複雑にする理由

パスワードは、6桁の数字なら1秒以内で解けてしまう。

私も昔、大手企業のシステムを運用・保守を担ってた事があるが、ほとんどの方がパスワードの設定を誕生日や同じ数字4回などわかりやすい羅列にしており、パスワードを複雑にする意義をユーザー自身で意識していないことを感じた。

通常は2段階認証やアカウントロックなどシステム側でセキュリティを担保するが、セキュリティが緩いシステムも世の中にはたくさんあるのでシステムに頼るのはおすすめしない。

おすすめの桁数

私がおすすめするのは8桁英(大,小)数記号である。
こちらのパスワードにすれば8時間は解かれないので、攻撃からアカウント解除を防ぐ確率がグンと上がると考えている。
ただ、8時間以内で解かれる可能性も十分にあるので2段階認証やアカウントロックの設定も必要だと私は思う。

怪しいメールから身を守る

普段使っているショッピングサイトに装った怪しいメールが来たことがある人は多いと思う。
一見すると、本物のサイトと見分けがつかないがある点に着目すると違いが見えてくる。

それはメールアドレスの差出人である××××××.co.jp(ドメイン)である。
※確認方法はメールの差出人を長押しやタップすれば確認できる

どこを見ればよいのか?それは××××××の部分である。
この部分は全世界で唯一(ユニーク)である必要があるため、同じ名前を使うことができない。

そのため、大文字を小文字にしたり、ooを00(ゼロ)に置き換えたり、一見すると同じように工夫してくる。怪しいと思った場合、まずはここをチェックしてみてほしい。

また、co.jpも確認が必要だ。
co.jpは商用を意味しており日本の営利法人を表すドメインであり会社を日本で登記する必要がある。
つまり公的に認められた住所(アドレス)のため、ここも確認する必要がある。

しかし、最近はネットで簡単にドメイン取得ができるため、有名サイトではない限り、見ただけでは見分けが難しくなっている事実もある。
怪しいと感じたら元のサイトのドメインと比較してみるのが有効である。

※amazonの注意喚起
https://www.amazon.co.jp/gp/help/customer/display.html/ref=vnid_201909120?nodeId=201909120

詐欺サイトを見極める目

手口

フィッシング詐欺というユーザーからid,password,クレジットカード情報を不定に取得する手口がある。
そしてこの手口を実現するために本物のサイトによく似せた詐欺サイトを作成し、個人情報を不正入手するのだ。

見極め方

①URLの確認

URLとはサイトを検索する際の任意の文字列であり、全世界で唯一(ユニーク)である。
そのため、本物のサイトとは差異があるため、怪しいと感じたら確認してほしい。

※某サイトの偽WEB画面
(URLに着目すると公式と差異があるのがわかる)

②暗号化通信

URLの先頭にhttp or httpsがついているがこれがhttpsかどうかを確認する必要がある。
httpsは暗号化通信と言われ、情報を送る際に暗号化されるのである。

個人情報を取り扱うサイトや有名企業のサイトはhttps化が常識であり、暗号化通信化してないサイトで個人情報を取り扱うことは基本的にないのでチェックしていただきたい。

③その他の確認方法

あまり推奨はしないが最終的な確認方法がある。それは嘘の個人情報を登録することである。
たとえば、id,passwordを登録する際、通常はidとpasswordが正式なものであるのか確認するが、
偽サイトはその確認方法がない。つまり、嘘の情報を登録できてしまうのだ。

また、クレジットカード登録の場合、存在しないカードを入力すると正式なサイトだとエラーになるが違法サイトの場合はならない。
原因はカード会社のデータベースに通信し、そのようなカード情報があるのかチェックするが違法サイトはそのようなチェックをできないため、存在しないカード登録でも登録完了してしまう。

仮に正式なカード情報を登録した場合は、その後1円程度カードで支払いをし、使えるかチェックが行われ有効なカードと判断する。
(最近では1円などの不自然な引き落としをカード会社が監視し銀行などに連絡がいくようになっているが)

まとめ

 

みなさんをだますように日々、ウィルスや詐欺の手口も進化している。
最近はSNSで不正なDMが送られてくるなどの詐欺の手口もあり、若者がターゲットになっているのは言うまでもない。

常にアンテナを張る必要はないが、自分が利用しているものへは関心が必要である。

 

コメント