個人の情報セキュリティ入門|被害の大半はパスワードとフィッシングから

「セキュリティが大事なのは分かるけど、何をどこまでやればいいのか分からない」。この分からなさの正体は、対策の情報が「全部大事」という並列で語られがちだからです。実際には、個人が遭う被害には明確な偏りがあり、対策には優先順位が付けられます。

この記事では、IPA(情報処理推進機構)が毎年公表している「情報セキュリティ10大脅威」の傾向をもとに、個人がやるべきことを優先順位つきで整理します。全部やる必要はありません。上から3つで十分に強くなれます。

現状認識:個人を狙う攻撃の中心は2つ

IPAが毎年発表する「情報セキュリティ10大脅威」の個人編では、フィッシングによる個人情報等の詐取不正ログイン(クレジットカード情報の不正利用を含む)系の脅威が毎年のように上位を占めています(出典:IPA 情報セキュリティ)。

映画のようなハッキングではなく、「偽サイトに自分でパスワードを入力してしまう」「使い回したパスワードで勝手にログインされる」——地味なこの2つが、個人被害の主戦場です。逆に言えば、この2つを塞ぐだけで被害の大半は防げます。

パスワード使い回しが危険な理由:リスト型攻撃の仕組み

「自分のパスワードは複雑だから大丈夫」と思っている人ほど危険です。問題は複雑さではなく使い回しです。

攻撃者は、セキュリティの弱いどこかのサービスから漏えいしたID(メールアドレス)とパスワードのリストを入手し、それを銀行・通販・SNSなど他のサービスに機械的に試します。これがリスト型攻撃です。あなたがどんなに複雑なパスワードを使っていても、10年前に登録した小さな掲示板と同じものを銀行で使っていたら、その掲示板の漏えいが銀行口座の危機になります。

ポイント:「複雑なパスワードを1つ覚えて全部に使う」は最悪の戦略です。「サービスごとに違うパスワード」の方が、多少単純でもはるかに安全です。そして人間には覚えられないので、道具(パスワードマネージャー)を使います。

対策の優先順位:上から3つやれば十分強い

優先度対策やること
1使い回しをやめるパスワードマネージャー(ブラウザ・OS標準のものでも可)に生成・記憶を任せる。まず銀行・メール・主要SNSから
22段階認証(多要素認証)メール・金融・SNSの設定画面で有効化。パスワードが漏れても乗っ取りを防ぐ最後の砦
3OS・アプリの更新スマホとPCの自動更新をオンに。既知の脆弱性を塞ぐ基本動作
4重要データのバックアップ写真等はクラウドか外部ストレージに二重化
5フリーWi-Fiでの重要操作を避ける銀行取引などは自宅回線かモバイル回線で

特に優先度1のメール(Gmailなどのメインアドレス)は最重要です。メールを乗っ取られると、他のサービスの「パスワード再設定」がすべて攻撃者の手に渡ります。

フィッシングの見分け方は「見分けようとしない」こと

「不審なメールを見分けましょう」という助言は、偽物の精度が上がった現在では限界があります。宅配業者・カード会社・税務署を装うSMSやメールは、本物と見分けが付かないレベルで作られます。

有効なのは、見分けるのをやめてルートを固定することです。

この「リンクを踏まず公式から開く」を習慣にすれば、文面の巧拙に関係なくフィッシングは成立しなくなります。

被害に遭った(かもしれない)ときの窓口

よくある質問

Q. パスワードの使い回しはなぜ危険?

A. 1つのサービスの漏えいリストを他サービスに試すリスト型攻撃があるためです。弱いサービス1つが全アカウントの入口になります。

Q. 何から始めればいいですか?

A. ①パスワードマネージャーで使い回し解消、②2段階認証、③自動更新オン、の順です。まずメールと金融系から。

Q. フィッシングに引っかかったかも。どうすれば?

A. カード会社連絡とパスワード変更を最優先に。#9110やIPAの相談窓口も利用してください。放置が最も危険です。

まとめ

個人のセキュリティは「全部やる」ではなく「効く順にやる」が正解です。使い回しの解消・2段階認証・自動更新の3つと、「リンクからログインしない」習慣。この4点で、IPAの10大脅威の個人編で上位を占める攻撃のほとんどに対処できます。今日、まずメールアカウントの2段階認証から始めてください。

※本記事は一般的な対策の解説です。最新の脅威動向はIPAの公式情報をご確認ください。