どうも、ふぁいぶです!
記事にしてきたFF14のアカウント乗っ取り事件も、ツイート主が嘘をついていてフィッシングサイトにID・パスワード・ワンタイムパスワード(以下OTP)を入力していただけという、何とも下らないオチとなりました。
さて、今回の記事は、
上記2記事を見ていただいた上で、改めてインターネットセキュリティの重要性や対策を振り返っていきたいと思います。
「もうそんなのはわかっているよ!」という人も、一度振り返ってみるのもいいかもしれません。
意外と疎かになりがちなインターネットセキュリティへの意識
大変便利なインターネットですけど、実はよく見るとそこら辺に危険がゴロゴロ転がっている無法地帯だったりします。
皆さんがよく使っているtwitterも、乗っ取られる可能性があるURLがかなりあり、「面白そう」と飛びついてみたら知らぬ間に乗っ取られてましたっていうのはよくある話です。
今回の事件のように「私は何もしていない!」というのは、セキュリティ関係においてまずあり得ません。
インターネットをやっている時点で何かしらの原因を引き起こしているのは間違いなく、何もしていない=インターネットを一切していないという事になるからです。
今回のFF14アカウント乗っ取り事件も、自分は何もしていないと言っていたツイート主が、結局フィッシングサイトを踏んでいたというしょ~~~~~~もない嘘を付いていた事例でもわかる通り、インターネットセキュリティの問題のほぼ全ては自分自身の行動が原因です。
最低限、この意識だけは持っておく事が大前提となります。
ご唱和ください!
「インターネットセキュリティの問題のほぼ全ては、自分自身が原因!!」
はい、テストに出ますよぉ。
アカウント乗っ取り事件で見る、インターネットセキュリティ対策!
では実際に自分自身が原因だと思っていても、対策を知らないと結局被害にあってしまうと思います。
その為に最低限の知識は絶対に導入しておいた方がいいでしょう。
今回は無数にあるセキュリティ対策の中でも、基本中の基本である「自身の行動で防げるセキュリティ対策」をご紹介します。
URLのアドレスを見る癖をつける事
これ、何気に出来ていない人が多いです。
URLのアドレスを見るだけでも、フィッシング詐欺に引っかかる可能性はかなり低くなる位有用です。
上の方のツイートの画像を見てください。
今回のFF14アカウント乗っ取り事件で流れてきたであろう、フィッシングサイトへの誘導Tellです。
ここでまず見るべきなのは、httpsから次の/で終わる所までですね。
上記画像で言うなら、~~.top/まで見るという事になります。
今大半の企業は、ホームページのURLで.jp、.com、.netしか使いません。この箇所のドメインの事をトップレベルドメイン(以下、TLDとします)といいます。
しかしフィッシングサイトは上記3つのTLD以外の物を利用している可能性が高いのです。
理由がいくつかあって、
- 類似させたいサイトのURLに近づけすぎるとドメインが被ってて発行できない
- フィッシング詐欺業者は出費を抑えたいので、格安のドメインサービスでドメインが格安or無料の物を取得する傾向にある
との事でした。
その為、本物かどうかを探る為の一番良い手段が、公式HPのURLを調べて見比べてみる。
これだけでフィッシング詐欺に合う被害は大幅に減ります。
当然ながら.comとかを使用しているフィッシング詐欺業者もいるので、必ず公式HPのURLを見比べてください。
何事にもまず疑い、しっかり調べる!
次に多い傾向が、書いてある文言を疑う事無く受け入れてしまっている事です。
例えば「サイトに登録するだけで〇〇をプレゼント!!」っていうツイートを見かけませんか?
ただのフォロー稼ぎだったりする事もあるんですけど、実際にフィッシングサイトへ誘導する手段として使われています。
それでクレカの番号とかを入力して、好き放題されちゃったりとかいう被害もある程です。
期待や不安を煽ってフィッシングサイトへ誘導するのは、詐欺業者が行う常套手段です。
ですので、まずおいしい文言だったり不安を煽る文言が流れてきたら、すぐに飛びつかずに「えっ、これ本物か?」と疑ってください。
今回のFF14内で送られてきているTellは英字ですが、意味としては「FF14辞めるから、15分後に3億ギル配るよ」というもの。
うん、怪しさ満点ですね!!
ちゃんと考えれば怪しいと思えるので、信じないでまずはしっかりと疑いましょう。
ワンタイムパスワードはしっかりと導入する!
これも基本中の基本で、OTPはしっかりと導入しましょう!
上記記事でOTPの事を説明しているのですが、OTPは使い捨て型のパスワードです。
1回承認で使われたら二度と利用できないパスワードが発行されるので、FF14以外でも色んなサービスが導入している、超有用な二段階認証システムですね!
ですが、上記ツイートのようなフィッシングサイトで未使用のOTPを入力してしまったら、そりゃOTP突破されてしまいます。
今回のアカウント乗っ取り事件は、OTPも入力させるフィッシングサイトに引っかかってしまったというのが事の顛末のようですね。
かなりセキュリティ強度が高いOTPも、誰かに教えてしまったら無意味になってしまいます。
その為、正規のログイン先かどうかを確認してからID・パスワード・OTPを入力しましょう。
しつこいようだけど、何もしてないとは思わないこと!
最後に、「何もしていない」はあり得ないという事をしっかりと頭の中に叩き込んでおきましょう。
どんなトラブルでも「何もしていない」で片付けてしまったら、根本的な問題解決は不可能です。
その為、セキュリティ関係のトラブルが発生したら、「自分が何かやってしまったから起きてしまった」というのをしっかり認知した上で、冷静に行動を振り返ってみましょう。
このような思考が出来ないのであれば、インターネットは利用しない方がいいですよ、本当にマジで!
自身の非を認めない人の大半が、救いようがないところまでの被害を被っていたりします。
今回のアカウント乗っ取り事件のツイート主は、自分の非を認めず嘘をツイートし、それが予想以上に広まってトレンド入りにもなってしまい、更にSteamのRedShellのせいだと嘘を重ねた結果、嘘でしたと謝罪する情けない末路を辿ってしまいました。
まぁまだ嘘だと認めたところは評価出来るのですが、救いようがない人は最後まで徹底的に他人のせいにします。
よって、もう手の施しようがないレベルまでの被害になってしまうケースを、他業種ながらも沢山見てきました。
なので、今からでも遅くはありません。
しっかりと自分の非と向き合えるようにしてください。
これが結構重要なセキュリティ対策だと、俺は感じています。
FF14アカウント乗っ取り事件で振り返るセキュリティ対策のまとめ
- URLを見る癖をつける事
- おいしい文言、不安を煽る文言を信じずに疑い、しっかりと調べる
- ワンタイムパスワードを導入する
- 「何もしていない」ではなく「何かしらしている」という意識を持ち、冷静に自分の行動を振り返って問題解決の糸口を見つける
今回は本当に基本中の基本を述べさせてもらいました。
当然セキュリティソフトの導入も必要なのですが、セキュリティソフトも万能ではありません。
一番の対策は自分の行動なので、上記4つを意識するだけでも100%でなくても十分な対策となり得ます。
今回の事件は非常に良い学びになったと思います。
これを機に、自身のインターネットセキュリティへの意識を見直して、改善してみてはいかがでしょうか?
コメント