ヒントとアドバイス

メールのハッキング被害から身を守る10の方法

Charlotte Empey, 2019年6月23日

メールアカウントの乗っ取りは日常的に行われています。

ハッカーの侵入を防ぐ対策とは

ハッカーがあなたのメール受信箱への侵入を試みる理由はさまざまです。まず、メールは現在、最も広く使われているオンラインコミュニケーションツールです。さらに重要な点として、メールアドレスが多くのオンラインアカウントで固有のログインIDとして使用されているため、サイバー犯罪者の標的になりやすいことが挙げられます。

考えてみてください。悪意のある第三者が、受信箱を乗っ取って試みるのは、①ユーザーが登録しているサービスとアカウントの種類を割り出すこと、②特定したアカウントのうち、1つ以上のパスワードのリセットを要求することです。大半のパスワードのリセットリクエストはメールで直接送信されるため、これを止める手段はほとんどありません。悪意のあるサイバー攻撃者は、アカウント所有者に気付かれないよう、パスワードリセットのメールをすべて削除するなどして、侵入の形跡を隠すことさえあります。

一度ハッキングされたメールアドレスは、ウェブ上でどのように使われてもおかしくありません。サイバー攻撃者は、オンラインアカウントから取得したクレジットカード情報などの個人データを盗み取ろうとします。例えば、オンラインバンキングのアカウントにログインしようとするかもしれません。うまくいかなければ、LINE PayやPayPayなどの個人間送金サービスを利用して偽アカウントにあなたのお金を一括送金し、その後現金化するということもあり得ます。あるいは、メールやソーシャルメディアを利用して無差別にあなたの友人にメッセージを送り付け、より多くの情報を盗もうとする可能性もあります。これはあなたの信用を傷付け、身近な人に迷惑をかけることになります。

そして最悪の場合、なりすましの被害に遭うことも考えられます。米国では毎年、多くの人が被害に遭っています。私の親友も最近危うく、その1人になるところでした。

悪意あるハッカーが親友のメールアカウントを乗っ取る

数か月前、親友のメールアカウントがハッキングされました。おそらく、親友の子供が利用したショッピングサイトからメールアドレスやパスワードが流出し、フィッシングメールに記載されたリンクをクリックしたのでしょう。メールアカウントがハッキングされ、最終的に乗っ取られるまで、親友はそのことに気づきませんでした。彼女はパスワードを何度か変更し、メールアカウントを取り戻そうとしましたが、ハッカーは再びメールアカウントを乗っ取りました。メールサービスのプロバイダーに連絡しても、ハッカーの攻撃を阻止する手段は見つかりません。原因が何であれ、友人は途方に暮れ、無力さを感じていました。

親友が気力とメールアカウントを取り戻した方法

友人に残された唯一の選択肢は、元のメールアカウントを捨て、新しいアカウントを作成することでした。この方法だと、すべてのオンラインアカウントのログイン情報を変更する必要があります。まず、アカウントに関連付けられたメールアドレスを変更し、次にパスワードマネージャーで強力かつ固有のパスワードを作成するため、多くの手間がかかりました。さらに2要素認証が利用可能であれば、それも有効にしました。もう1つの対策は、今後また同じ被害を受けることがないよう、アカウントにアクセスする家族全員に「してはいけないこと」を伝えることでした。

安全性を高めるために彼女が最後に取った対策は、信用情報の凍結でした。オンライン上には大量の個人情報が登録されているため、信用情報に長期的な影響を及ぼさないようにするには、包括的な保護対策を講じた方がよいと考えたのです。

ハッキング被害から身を守る10の方法

オンラインで自分を守るために、簡単に実行できる10の方法を紹介します。家族や友人を守ると同時に、メールアカウントのハッキング防止にも役立ちます。 

  1. 可能な限りパスワードマネージャーと2要素認証(2FA)を使用する
    信頼できるパスワードマネージャーを使用し、オンラインでログインに使用するパスワードのすべてを強力かつ固有のものに変更します。これは非常に重要です。現代のハッカーは、クレデンシャル スタッフィングという攻撃方法を使用します。パスワードリスト型攻撃とも呼ばれ、文字通り過去に盗まれたユーザー名とパスワードを使用し、できる限り多くのオンラインサービスにログインを試みます。この方法が使用されるのは、複数のアカウント間で同じユーザー名とパスワードが使われているケースが多いためです。

    オンラインサービスごとに固有のパスワードを作成するのは少々手間がかかりますが、リスクを回避する上では効果があります。パスワードを設定する際に、アカウントのセキュリティを強化する2要素認証(2FA)が提供されていれば、同時に設定しておきましょう。これは、知らないうちにパスワードがリセットされることを防ぐ上で特に重要です。自宅にIoTデバイスを設置する際も、同じ対策を施します。IoTデバイスを購入するときは2FA対応のものを探しましょう。
  1. 新しいメールサービスに登録するときは2FAに対応しているかどうかを確認する
    すべてのプロバイダーが2FA対応とは限りません。メールサービスに登録する際は、プロバイダーがSMS(安全性がやや低い)、または Google AuthenticatorAuthy といったアプリベースの2FAなどのセキュリティ対策を提供しているかどうかを確認しましょう。

    2FAの主なメリットは、ワンタイムパスワードをテキストメッセージなどでスマートフォンに送信することで、二重のセキュリティ対策ができることです。デバイスを持っている人だけが新たにログインできるということになります。誰かがあなたのメールアカウントにログインしようとした場合、通知が届くため気づくことができます。
  1. 不審なメールやSMSのリンクはクリックしない
    フィッシング詐欺では、一見本物らしく見えるリンクをメールやSMSで送信することがよくあります。しかし、クリックしたが最後、個人情報を盗まれてしまいます。メールの添付ファイルに含まれるマルウェアも、頻繁にサイバー攻撃の糸口になっています。このような詐欺行為を防ぐ最も簡単な方法は、リンクや添付ファイルをクリックしないことです。代わりにブラウザーで別のタブを開き、メールやリンクに記載されている会社のウェブサイトにアクセスして、送られてきた情報が正式な情報源からの情報と一致するかどうかを確認しましょう。知らない送信者からのリンクや添付ファイルは決して開かないこと、ダウンロードしないことが鉄則です。また、知り合いから届いたリンクや添付ファイルであっても、前後関係が不明な場合は怪しい兆候です。

    この方法は、パスワードリセット詐欺のようなよく知られているフィッシングメール(例:「アカウントが不正にアクセスされました。ここをクリックしてログインIDとパスワードをリセットしてください」)を察知するのにも役立ちます。2016 年の米民主党全国大会直前に起きたメール流出事件を覚えていますか?その発端となったのはパスワードリセット詐欺です。
  1. PCとスマートフォンで VPNを使用する
    匿名性を維持するために、VPNを使用してインターネット接続を暗号化しましょう。個人情報の保護につながりますので、利用しない理由はありません。VPNを使用すると、広告やトラッキングが少なくなり、ブラウジングが快適になります。もちろん、安全であることがわかっていることから安心感も増します。
  1. 公共のWi-FiやPCはなるべく使用しない
    旅行中や外出時は、自分のPCやモバイルデバイスのみを使用してインターネットに接続するようにしましょう。VPNは必ずオンにします。例えば、ホテルにある共用のPCは誰でも使えるため、キーロガーやその他のマルウェアがインストールされている可能性があります。思わぬトラブルで後々まで悩まされるかもしれません。オンラインバンキングやその他の重要な個人情報が含まれるアカウントへのアクセスは、できる限り保護されたホーム ネットワークで行うようにしてください。
  1. 強力なアンチウイルスを導入する
    優れたアンチウイルスは、フィッシング攻撃や、マルウェアやランサムウェアなどの脅威に対するリアルタイムの保護により、個人情報を守る安全対策が強化されています。PC、Mac、Androidデバイス、その他のデバイスに必ずアンチウイルスをインストールしましょう。
  1. ルーターとWi-Fiのセキュリティを確保する
    権限のないユーザーがシステムへの侵入を試みる可能性もあります。そのため、ホームユーザーや小規模ビジネスのオーナーにとっても、ネットワーク上のユーザーを識別することは重要です。ルーターの管理用パスワードを変更し、Wi-Fiのパスワードを非常に強力なものに設定して、ハッカーによるクラッキングを防ぎましょう。
  1. PCとスマートフォンのOSを最新に保つ
    OSのセキュリティ更新プログラムが公開されたら、すぐに更新すること、それが情報セキュリティの基本原則です。
  1. すべてのPCとスマートフォンのアプリを定期的に更新する
    アップデートにはセキュリティ上の改善が含まれることが多いため、最新版が提供されたらすぐに更新してください。
  1. アカウントの信用情報を凍結することを検討する
    メールアドレスがハッキングされた場合の最終手段は、アカウントに登録された信用情報を凍結することです。これは簡単に実行可能で、自分のアカウントにアクセスできるユーザーをより詳細に管理できます。例えば、自動車などを購入するとき、誰かに信用調査報告書の閲覧を許可する必要があれば、アカウントをすぐに元の状態に戻し、必要がなくなれば再び凍結できます。

たとえセキュリティ保護の対策を講じていても、メールアカウントの安全は保証されないものと考えましょう。つまり、単純に支払いやクレジットカードのデータ、マイナンバー(社会保障・税番号制度)、その他の個人を特定できる情報などの極秘情報は、できる限りメールで送信しないよう注意する必要があるということです。

ハッカーはあなたの受信箱に侵入すると、何らかの手段を講じて、そのような情報を探し当ててしまいます。それを容易に許すべきではありません。2FAなどの保護対策、そして警戒感を高めるという昔ながらの方法も、不審な動きを察知し、改善策を実行する上で十分役に立つはずです。

上記のような簡単な対策で、ハッキングの標的にならないようにしましょう。これらの対応策の一部を実行しても、受信箱からスパムを排除できないかもしれません。しかし、ハッキングを試みようとするメールを迷惑メールフォルダーに分類することは可能です。