見出し画像

【体験|闇】二要素認証って やっぱり大事だと思った

ハッキング被害から学んだことを還元していく



 ※2024.6.4 記事内リンク切れにより一部修正

1.あいさつ


 みなさま どうも。
 ”フカンして・みると”です。
 初めての方は はじめまして! 初めてじゃない方は こんにちは!

 今日もなんとか #毎日note 継続しております。投稿 48日め!
 そして #66日ライラン 38日継続中!

38/66

 今回の記事は【体験|闇】シリーズです。
 といっても今回もハッキング被害の経験と、そこから感じたこと学んだことなどがテーマになります。そのつもりでお読みください。

 でも、ネットに比較的親しむ方も多いであろうnoterやnote読者には、少し参考になるかもしれません。

2.パスワード改変も 他人事でない


 先月のつぶやきですが、こんなことがありました。


 各種の口座やカードを保有の読者の方々には、銀行など金融関係や信販などカード会社など、いわゆる金銭資産の情報を取り扱う業者から、二段階認証二要素認証を促す連絡がきませんでした?

 覚えがあるのではないでしょうか?
 あるいは けっこう強めに登録を求められたりしているかも。

 そこで、ひとつ申し上げます。

 「面倒でも、ちゃんと設定しておいたほうがよいです!」と。

 パスワード改変されたら ノーガードも同様です。


 最近ネット犯罪が増加してきて、対策が急務になってきているとの報道も増えてきた印象がありますよね。
 特にカード利用拡大とともに、不正利用なども急増して昨年2023年には判明しているだけでも500億円以上にのぼるそうです。
 
 参考)Impress Watch 2024.5.15の記事


 ネット社会の変化スピードに、実社会の変化が遅れて動き始め、警察などの体制整備もそうですが、まさにイタチごっこの様相。

 職場のセキュリティもなかなか大変ですが、何より日々の生活での自己防衛意識や習慣などは、たいがいの場合 後手に回りがちです。

 

 知ったふうな口をきく私も、もともと意識はあったつもりでした。
 もちろんセキュリティソフトなどは最新のものを導入していたり。

 ですが、それは なかば恰好だけの対応で、そういった対策を導入しただけで安心、とまでは油断していないつもりでしたが、結局は細かい日々のチェックなどは面倒になって怠りがちになってしまう。
 正直、手間ですからね。

 仕事ならともかくプライベートで真面目に考えるようになったのは 相当やられたことが判明した後。
 実際にPCなどのハッキングによる乗っ取り被害が明らかになってから。
 不幸中の幸いか 直接的な金銭被害はありませんでした。

 でも深いところまで汚染されたら、下手すればPCやネット接続している電子機器全滅ですから、ネット生活に偏っている人ほど被害は甚大です。

 特にコロナ禍をきっかけに 利用>対策 の差がアンバランスなほどに急拡大した隙を 詐欺グループなりのネット犯罪者やそれに準ずる者がつけこんでいる構図になっていますよね。 

 私の場合、直接の金銭被害がなかった理由として
 警察に相談したときにも 話が出ましたが、主目的が金銭ではなく、それ以外の目的があったのではないか?という可能性が示唆されています。

 つまり個人や業務上の情報を盗むこと自体が主目的、あるいは犯罪行為の踏み台(知らぬ間に犯人に仕立てられる偽装工作され、犯人の身代わりにされること)利用が目的かもしれない。

 今回は世間的に関心の高い 金銭目的のハッキングなどの場合を想定した記事なのですが、金銭が主な目的でないケースについても、今後も取り扱おうと思っています。関連で過去記事のリンク貼っておきます。

↓ 興味ある方は、この記事の「2.ハッキング ~自分の被害なかなか認めたくない心理で後手後手」あたりをご参考に。


3.より重要なのは二要素認証


 パスワード設定だけでは安心できなくなってきた昨今。
 よりセキュリティを高めるために二重の防護を促される方法として、二段階認証や 二要素認証などの対策が必要と言われますよね?

 でも その違いは何か?とか そもそもの効果について実感ありますか?

 私自身は上述のとおり、パスワード書き換え被害に遭うまで二段階は割と対策していましたが、二要素はほとんど対策していませんでした。
 今は、前者だけでなく 後者の重要性を実感しています。

 二段階認証や二要素認証の必要性やそれぞれの違いを理解するには、「認証」には 何が必要とされるのか?
 そもそもを知っておくことが重要のようです。
 では、「認証」で必要な「三要素」とはなんでしょうか。

知識要素:パスワード、暗証番号/合言葉 など

所有要素:スマホ、タブレット/鍵、印鑑/身分証明書、社員証、ICカードなど

生体要素:指紋、静脈/虹彩、顔 など

 

(参考)キヤノンMJ サイバーセキュリティ情報局の記事
「2021.3.11二要素認証と二段階認証の違いを理解していますか?」


 二段階認証とはなにか?と言えば、認証の手続きが複数回(2回)求められるということになるわけです。

 それによって当然、手間はひとつ増えますが、AIなどによる無作為無尽蔵の総当たり攻撃などで認証突破されるリスクを減らせる効果が期待できます。

 一方の二要素認証とは、上で示した「知識要素:パスワードなど」「所有要素:スマホなど」「生体要素:指紋など」の異なる2つ以上を組み合わせた認証ということです。

 例えば、パスワード(知識要素)+指紋認証(生体要素)の組み合わせ。
 パスワード(知識要素)+登録スマホへのワンタイムパスコード(所有要素)の組み合わせ。

 異なる認証要素を用いて2回手続きするので、二段階の認証にもなります。

4.痛感 ~悪質極まりないのに身近


 それで、なぜ後者の二要素認証が重要かというと、私の場合に限らずネット社会でパスワード盗みの手口が高度化・多岐化 それでいて一般化している傾向にあり、要するに犯罪あるいはそれに準ずる行為者目線でも
 悪用>対策 の構図なんですよね。

 今は過渡期なのかもしれませんが、被害者の立場では たまったものではないです。

 例えば、以前も言及した「恒心教」関連の事件の報道。
 中学生(当時)が 学校のタブレット用いてハッキングを行い とある学会のID/パスワード変更したそうです。

ある学術団体が使用していた、メルマガ配信用アプリケーションの脆弱性を突いて ハッキング

そこから侵入し、サーバーのログインIDとパスワードを変更。
変更したIDとパスで不正にログインしたとのこと。

学術団体のメール送信機能が使用できなくなった疑いだそうですが、
そのセキュリティホールから さらに広がっていく懸念はなかったのでしょうか?

参考)2024.5.16 朝日新聞デジタル記事


 さらに この記事には具体の記載はないですが、
 以前流れていた情報によれば ハッキングした少年は
 以前から折り合いの悪かった別の少年の仕業に見せかけようと、
 偽装工作まで行っていたとか、いないとか?

ところで。

自分の個人的な話にも再度触れますと、
時期的に犯行は2023年8月でこの事件の前に発生した
6月の「恒心教」関連の闇バイト事件や爆破予告事件もそうですが
身辺のハッキング被害が急増した時期
2023年6月~9月とモロかぶり
ますね。

どこで接点が生じたかな?
などと つい憶測したくなります。

プライベートじゃないでしょうね、おそらく。
たぶん 関係者にはおわかりでしょうけど。

ただの独り言


 さて、このように パスワードを盗むことが可能であれば、
 暗証番号や合言葉だって盗むことが可能な方法を
 犯罪者側が持っていると 警戒したほうがよい
ですよね?

 私の場合は そのように痛感しました。

 ハッキングなどによって、キー入力情報や画面情報などから
 漏れている可能性もあるわけですから。

 つまりキー入力のみ(知識要素のみ)で認証する方法だと、
 一度突破されると 二段階でも三段階でも筒抜け。

 突破されていない別方法(別要素)で防護しないと
 ノーガード同然
ということになります。

 これも過去記事で関連情報に触れています。
 そのうち キーロガーについても記事で取り上げたいですね。


 そこで、一つの方法が仮に突破されていても、
 ほかの要素は盗みにくいことが大事になる。

 
別要素の出番となり重要性がグッと高まってくる。
 仮に知識要素が破られていても、所有要素や生体要素などの
 異種の組み合わせがセキュリティに効いてくるわけですね。

 お城の外堀と石垣、本丸までに何重にも防護する構造と同じようなもの。

 複数の要素が防護してくれている間に、使用停止したり、パスワードを再設定したり、より強固な対策を講じたりする猶予が確保できます。

 いざ出くわした時に、差が出てきます。

 なので 私自身、クソ面倒くさいと思っていた二段階どころか、もっと手間がかかる二要素認証について、少なくとも金銭を主に扱うサイトは全部導入してほしい と思ってしまうくらいに認識が一変してしまいました。

 まあ、そこまで徹底は不便でしょうし、下手な設計したら不便ばかりになってしまう(例:ゆ〇ちょ)し、さすがに実被害者しか理解できない心情かもしれません。

5.まとめ(まとまっていないけど)


 いろいろと書いてきましたが、もし二要素認証がシステムとして用意されていたなら。

 「面倒でも、ちゃんと設定しておいたほうがよいです!」と。

 趣旨はほぼこれだけ なのですが、繰り返し申し上げておきます。

 いつ 他人事から自分事に降りかかってくるか分からない時代ですからね。
 特にnoterの方々はもともとネット社会に親しんでいたり、さらに深めていく方も多いのでしょうから。

 ここから また個人的な話、というか愚痴かも。
 すみません、不快な方はスルーしてください。

 過去記事でご存じの方もおられますが、私はハッキングなどの被害の日々を過ごしています。

 以前、M〇crosoftのアカウントパスワードが抜かれ、それをメールで送りつけられ、脅されたり。

 サブPCがほぼ?乗っ取り状態になって、内部情報が抜かれて、PC画面にメッセージ表示させられたり、などの経験をしました。

 ルーターやほかのPCやスマホもどこまで浸食されたのか?

 ハッキングの脅威はいまだ継続し、イタチごっこのようで、完全には状況把握できていない体たらくです。

 すでに述べた通り、私自身は情報流出はあったものの 直接の金銭被害はありませんでした。

 しかし、ハッキング被害が長期にわたり今も懸念が続いているため、PC周りやネット機器の交換を何度も強いられ、そのコストと手間と時間の消費は相当です。

 その被害は間接的というかほぼ直接的で、生じた損失は数十万では収まらないと思います。全部含めると200以上は行くかも。

 さらに精神的苦痛で受けた間接的被害は 生活上も仕事上も影響は甚大で。
 金銭換算すると損害は 数百万は確実。

 あくまで主観ですけど 実質的な損害は それよりずっと多いですね。
 詳細は言えずじまいで 匂わせ止まりになるのが、くやしいですが。
 でも、ストーカーなどの被害者にはありがちなんでしょうかね。

 こんな惨憺たる環境下ですが、そんななかでも noteを開始、中断はありましたが、投稿を継続しています。

 現状で説得力ほとんどありませんが、私としては note活動も含めて、在宅ワークで多くをこなせる生活環境を目指したい気持ちがあります。

 しかし形としては、まさにそれを狙われたかの如く ハッキングの餌食となったわけです。

 この辺りのハッキングの意図の話は 過去記事でも少し書きましたし、このシリーズ?【体験|闇】では、今後も もう少し広げたり掘り下げたり しようかなと考えています。 < また狙われる?

 この話題になると、現在進行形でもあり、なかなか冷静にもなりにくいので、いつも以上にまとまりがつけにくくなります。。。
 
 どうにもまとまらないままですが、今回はここまで。
 また次の記事で!

(了)


#自分語り #振り返りnote #66日ライラン #毎日note #セキュリティ #損害 #二要素認証 #この経験に学べ #ハッキング #ストーカー


学びの還流🔁とナレッジ共有📖につなげるべく書籍代等に使用します。 ただ当面は、現在進行形でハッキング被害等でネットワーク周りなどの更新に苦慮しております。セキュリティ対策費に優先的に充てさせていただきます!