[セキュリティ] 現役ECサイト構築担当者が教えたい、僕らに出来るセキュリティ対策

 昨日のエントリーはセキュリティについての話だった。今日はその続きで、僕たちがセキュリティに対して普段から気を付けるべきことをいくつか挙げてみたい。参考になれば。

前提として


photo credit: Visual Content Data Breach via photopin (license)

 まず前提として、個人のセキュリティ対策はやればやるだけ安全だけれど、正直やり出したらキリがない。そこで、現役ECサイト構築担当者である僕から、最低でも押さえておきたいポイントを以下に紹介する。

 ここで扱うのはWebサービスなどのログインに使うIDとパスワードだ。

1. 覚えやすい文字列は避ける

 そんなの当たり前だろ!と声を大にして言われそうだが、これがケースとして意外にも多い。IDはたいていメールアドレスを使うのでこれは変えようにないが、パスワードは任意のものを指定する必要がある。

 さすがに「12345」とか「password」とかを設定している人はいないと思うが、個人に紐付く情報で構成する人は少なからずいるだろう。

 例えば「ニックネーム+誕生日」。これは十分に推測可能で、身近な悪い人に狙われやすい。「友達にゲームのアカウントを乗っ取られた」みたいなニュースが話題になったりするが、こういったパスワードを推測して入れたら成功した、というケースが多い。

 また、最近気になるのがショルダーハックという手法。日本語で言えば「肩越しに見る」とそのまんまなのだけど、これが最近は危ない。

 というのも、Webサービスの最近のトレンドで「パスワードを一時的に見えるようにする」機能が取り入れられているのだ。これは、もはや当たり前となったパスワードの隠蔽(****のような見え方)だと、自分がどのような文字を入力しているかわからないのでログインに失敗する!…という利用者の声に応えたものだ。これがショルダーハックの脅威になり得るというものだ。

▲Amazonの例。「パスワードを表示」とすると、入力した文字が見えるようになる

 推測可能なパスワードを持って実際に入力しているところを見られたとしたら、たとえ1秒に満たない時間で覗かれたとしても、その後「たぶんこうかな?」と除いた人が入力したらうまくいった、という流れになるというもの。

 対策としては、出来るだけ意味のない、ランダムな文字列を指定するようにしたい。その場合、覚えるのが大変だが、サードパーティー製のソフトなどを活用するといいだろう。

2. パスワードの使い回しはしない

 これも多いと思うが、最近は狙われやすいポイントだ。

 例えば、あなたが海外のWebサービスに登録していたとする。ある時、そこのWebサービスがのIDとパスワードが流出してしまった。こんな時、ここのWebサービスを使うのを止めるか、パスワードを変更するかして、事なきを得た…という思うかもしれない。しかし、あなたがもし、他のWebサービスでも同じパスワードの使っていれば、それらのパスワードもすべて変更しなくてはならない。

 なぜなら、流出したパスワードはネットの闇市場に流れ、悪い人がこれを使ってアカウントを乗っ取ろうとするからだ。

 まさか私が?と思うかもしれない。しかしこの場合、悪い人は著名なWebサービスに対し、持っているIDとパスワードの組み合わせを使って、機械的にログインしようとするので、仮にどこかのWebサービスにひっかかって突破されたら、もうアウトなのだ。これをリストアタックという。

 オンラインショッピングサイトでクレジットカードを登録していようものなら、高額な商品を買われることも十分に考えられる。

 対策は、とにかくサービス毎にパスワードを別々にすること。これもツールを活用したいところだが、自力で何とか覚えたい!と言う人にはこんな方法がある。

 それは、使用するサービスの頭文字と、記号を組み合わせたものを日頃使っているパスワードと組み合わせるというもの。例えば、日頃使っているパスワードに「Gm5v43wag」(これはいま思いついた適当な文字列)があったとして、仮にYahoo!でこのパスワードを使うとしたら、

Gm5v43wag_Y_

と言う具合だ。これがGoogleならGにするとか、クックパッドならCにするとかそんな感じ。記号を入れることでさらにパスワードの強度を上げることが出来るので、上記を参考にサービス毎のパスワードを作ってみて欲しい。(※くれぐれも上記をそのまま使わないこと!必ずアレンジしてね

3. 2段階認証は積極的に取り入れよう

 最近増えてきたセキュリティ対策の傾向として、この2段階認証がある。

 サービスにログインすると、スマホのアプリやSMSを介して認証する仕組みが主流で、GoogleやApple、Twitterなどが採用している。

 この場合、例えアカウント情報を盗まれたとしても、個人所有の機器がないとログイン出来ないため、完璧ではないものの突破されることはほぼないと言える。もし自分の使っているサービスにこれらが提供されていたら、面倒くさがらずに登録しておこう。

スポンサーリンク
レクタングル(大)

まとめ

 身近な脅威に対して僕らが出来る対策方法を紹介してみた。大きな声では言えないが、僕は仕事柄、上記に引っかかって被害に遭っている例を目の当たりにしている。

 もし心当たりのある人は、いくつか取り入れてみるといいと思う。

札幌に住む30代男性のSEです。妻と娘2人、楽しくやっています。
ネット、パソコン、Appleなどのガジェットから、アニメなどのサブカルチャーなど広く薄く知識を持っています。