※2024年上半期、国内で報告されたフィッシング被害は前年比20%増加。
参考:フィッシング対策協議会レポート
フィッシング詐欺や不正アクセスの被害が年々増加しています。特に証券口座やネットバンキング、暗号資産など、金銭に直結するサービスの被害は深刻です。本記事では、被害に遭わないための具体的な対策とおすすめツールを紹介します。
もうメールが怖くてリンクをクリックできません…。
メールにブランドロゴが表示されていると安心なようですが、まだ対応している会社が少ない。
近年ではビジネス上でのコミュニケーションツールは多様化しています。その中で、メールは自動送信メールやメルマガなどで依然として活用されており、重要な役割を果たしています。 しかし、スパムやフィッシング詐欺などの問題も根強く [...]
用語解説:パスキー
パスワードの代わりに使える新しい認証方式。生体認証や端末認証を利用し、フィッシング詐欺に強い。
パスキーは従来のパスワードに代わる安全な認証方法です。対応サービスでは必ず利用しましょう。
指紋認証や顔認証で簡単にログイン可能
フィッシング攻撃のリスクを大幅に低減
設定も簡単
メルカリ、パスキーの登録者数が累計1000万人に達し、パスキーではフィッシングによる不正利用が確認されていないと発表。なぜメルカリはパスキーの登録者を増加させ、不正利用の発生を抑制できているのか。一方、なぜネット証券では不正取引が拡大しているのか。何が差を生んでいるのかを追ってみたい。
Microsoft Authenticatorを使えば、スマートフォンと生体認証でパスワードなしの安全なログインが可能です。 参考記事
Microsoftは5月1日(米国時間)、Microsoftアカウントのデフォルト認証方式をパスワードレスの「パスキー」に切り替えたと発表した。これから新規に作成するアカウントはデフォルトでパスワードレスとなり、既存ユーザーもアカウントからパスワードを削除可能になる。
ブラウザ保存は危険(暗号化が不十分、マルウェアリスク)
サービスごとに異なる強力なパスワードを自動生成・保存できる
・価格:プレミアムは月額200円〜、30日間無料体験あり
・特徴:シンプル操作、強力なセキュリティ
・オープンソース:×
・生体認証:○
・パスキー対応:○
もうパスワードで悩まない!NordPassがあなたのデジタル生活を変える 「また同じパスワードを使い回してしまった...」「パスワードを忘れてリセットするのは面倒...」そんな悩みを抱えていませんか? ...
1Password
・価格:年間36米ドル
・特徴:使いやすさ・多機能
・オープンソース:×
・生体認証:○
・パスキー対応:○
単なるパスワードマネージャーを超え、Extended Access Managementのリーダーに。1Passwordを使って、あらゆるデバイスからあらゆるアプリケーションに安全にサインインしましょう。
Bitwarden
・価格:無料/有料
・特徴:オープンソース・高い透明性
・オープンソース:○
・生体認証:○
・パスキー対応:○
Bitwardenは、ビジネスや個人がどの場所、ブラウザ、デバイスからでも安全にパスワードを生成、保存、共有することを容易にします。今日、無料のBitwardenアカウントを作成してください。
Apple Passwords
・価格:無料
・特徴:Appleデバイス限定・純正
・オープンソース:×
・生体認証:○
・パスキー対応:○
パスワード パスワード、パスキー、Wi‑Fiパスワード、およびその他の資格情報に1か所で楽にアクセスできます。"パスワード"で、自動入力を使用してアプリやWebサイトに素早くサインインしたり、アカウント情報を暗号化して保護したり、パスワードをシームレスに同期して外出先でもアクセスできるようにしたりできます。 機能 * ...
公式サイトからアプリをダウンロード
アカウントを作成し、マスターパスワードを設定
各サービスのパスワードを登録
必要に応じて二要素認証を有効化
自分で考えない
パスワードマネージャーの生成機能を利用 (長いパスワードを生成)
自分で覚えない
パスワードマネージャーで管理、マスターパスワード相当のものだけ覚える
自分で入力しない
パスワードマネージャーの提案から選択
パスワードの定期変更は逆効果。情報が流出したとか本当に危ない時に変更で良い。
普段から頻繁に変更を促すことは逆効果になる場合もあります。これは、ユーザーが覚えやすい弱いパスワードを使い回す原因となり、かえってセキュリティリスクを高めるためです。
しかし流出情報を隠蔽したり、セキュリティがおざなりな銀行などのように定期変更を促すのはいかがなものか?
最近報告された情報漏洩はSteamシステムに対する侵害によるものではありません
二要素認証は、パスワードに加えて追加の認証要素を要求することで、不正アクセスを防ぎます。
Google Authenticator
・オープンソース:×
・バックアップ:×
・特徴:普及率高いがバックアップ不可
2FAS
・オープンソース:○
・バックアップ:○
・特徴:プライバシー重視・匿名性
Meet your favorite 2FA app. We are an open-source, community-driven, private and simple solution for Internet's biggest threat - security breaches.
Bitwarden Authenticator
・オープンソース:○
・バックアップ:○
・特徴:パスワード管理と一元化
Bitwarden offers a standalone app that generates and stores all your two-step verification tokens so you stay more secure.
アプリをインストール
アカウントを登録
サービスのQRコードをスキャンして登録
Apple iCloud+ の「メールを非公開」機能でランダムなメールアドレスを発行し、本アドレスを隠す
NodePassはファイル添付やメールマスキングも可能
SimpleLoginやStartMailでエイリアスメールアドレスを作成
用語解説:エイリアスメール本来のメールアドレスを隠すための使い捨てアドレス。スパムやプライバシー侵害対策に有効。
iOS15以降、独自のランダムなメールアドレスを生成し、自分の本当のメールアドレスのプライバシーを保護してくれる「メールを非公開」機能が利用可能となりました。 実際にどのように設定するのか、順を追ってご紹介します。 「メールを非公開」のしくみ
Create unique email masks with NordPass Premium and Family to protect your personal data and prevent unwanted data exposure.
電子メール エイリアスを使用すると、オンラインで匿名になり、スパムやフィッシングから受信トレイを保護できます。
Secure your emails with StartMail's encryption and customizable aliases, ensuring ultimate privacy and protection for your data.
VPN: 全通信を暗号化し、IPアドレスを隠す。リモートワークや公共Wi-Fi利用時に有効。
プロキシ: 特定アプリの通信のみ中継。暗号化は基本なし。
iCloudプライベートリレー: Safari専用でIPアドレスを隠す。
dVPN(分散型VPN): オープンソースが多く、中央集権サーバーに依存しない。
有料VPN
暗号化:○/匿名性:○/対象範囲:全通信/オープンソース:△
無料VPN
暗号化:△/匿名性:△/対象範囲:全通信/オープンソース:△
プロキシ
暗号化:×/匿名性:○/対象範囲:アプリ単位/オープンソース:△
iCloudリレー
暗号化:○/匿名性:○/対象範囲:Safariのみ/オープンソース:×
dVPN
暗号化:○/匿名性:◎/対象範囲:全通信/オープンソース:○
無料VPNはデータ売却やセキュリティリスクが高い
dVPNは透明性・分散性が高く、プライバシー重視の方におすすめ
VPN(例)
Surfshark VPN - データの安全性 ● 無制限のデバイス ● 24時間年中無休のサポート ● 100カ国で3200以上のサーバー ● ノーログポリシー ● RAM専用サーバー、その他多数。
iCloudプライベートリレー
Appleの善意に基づいたプライバシー対策は、プライバシー重視の分散型VPN(dVPN)には及ばない。 2021年、AppleはSafariブラウザ向けに「iCloudプライベートリレー」というプレミアムiCloud機能をリリースしました。しかし、「プライベートリレー」と...
dVPN(例)
Stay truly anonymous online. Nym's decentralized mixnet prevents surveillance, shields metadata, and delivers private, high-speed browsing.
Q. 無料VPNは本当に危険ですか?
A. 無料VPNはデータの売却やセキュリティの脆弱性が指摘されています。信頼できる有料VPNやdVPNの利用を推奨します。
Q. パスキーとパスワードの違いは?
A. パスキーは生体認証や端末認証を使い、フィッシング耐性が高い新しい認証方式です。パスワードより安全です。
Q. パスワード管理アプリは本当に安全?
A. オープンソースや信頼できるサービスを選び、マスターパスワードや2FAを有効化すれば高い安全性が確保できます。
Q. メールエイリアスはどこで使える?
A. ほとんどのオンラインサービスで利用可能。登録時に本アドレスの代わりに使うことでスパムや漏洩リスクを減らせます。
[ ] サービスごとに異なる長いパスワードを設定した
[ ] パスワード管理アプリを導入した
[ ] 可能なサービスでパスキーを利用した
[ ] 二要素認証(2FA)を有効化した
[ ] OSやアプリ、ブラウザや拡張機能などを常に最新に更新した
[ ] メールエイリアスや非公開メールを活用した
[ ] 信頼できるVPNまたはdVPNを利用した
各技術にはそれぞれの利点と欠点があります。自分の利用目的やリスク許容度に応じて、最適な対策を選択しましょう。
サービス運営側はこれができるようにしましょう。
暗号資産の守り方はこちら: Web3ウォレットに入れた大切なお金やNFTを守るため、入れておきたい無料で使えるセキュリティツール
The home for web3 publishing.
masia
