僕のセキュリティ対策

「あるネットショップからクレカ情報が流出した」
そんな、かなり確度の高い噂がこの夏僕の身の回りで広がった。

クレカ不正使用に遭った人々の共通点が、同時期にそのネットショップでクレカ決済していたからであり、感覚的には、その共通点に当てはまる人のほとんどが被害に遭っている気がする。

当のネットショップは、噂が広まってから2か月ほど経った今もサービスを停止し続けているものの、流出した事実は公表せず、本当のところは分からない。あくまでも流出疑惑の段階だ。
(2020/11/14追記)公表されました。

ちなみに、僕も前述の共通点に当てはまる人の1人であるが、未だに被害に遭っていない。
被害に遭っていない以上、少なくとも僕が実践しているセキュリティ対策が功を奏していることに違いない。
そこで、僕が実践しているセキュリティ対策を紹介していく。
(2020/11/14追記)下記、利用制限設定を一時的に解除している隙に被害に遭いました。クレカ利用の通知設定をしていたことですぐに異常に気づき、事なきを得ましたが、このnoteで紹介しているセキュリティ対策を行っていたとしても、ネットショッピング事業者側に脆弱性があった場合はどうしようもないということですね。

クレカの利用制限設定

三井住友カード系のクレカでは、「あんしん利用制限サービス」が用意されている。
このサービスでは、海外店舗やネットショップでの利用を制限することができる。
リアルタイムで設定が反映するため、基本的には制限をかけておき、海外店舗やネットショップで買い物をしたい時のみ制限解除をすると、非常に安全だろう。いちいち面倒だけど。

すべてのクレカブランドで設定可能かは分からないが、同じような機能はあるはずなので、是非探してほしい。

クレカ利用の通知設定

三井住友カード系のクレカでは、「ご利用通知サービス」が用意されている。
このサービスでは、クレカ決済が実施されたことをほぼリアルタイムでメール通知してくれる。
万が一クレカ不正利用に遭ったとしても、通知から即座に知ることができるため、知らぬ間に不正利用に遭っていた、なんてことを未然に防げる。

ほとんどのクレカブランドで設定できるはずなので、是非探してほしい。むしろ、設定できないブランドなんか解約してしまえ、と思う。

3Dセキュア設定

三井住友カード系のクレカでは「ネットショッピング認証サービス」が用意されている。
このサービスは、ネットショップでカード決済を行う際に、カードに記載されている情報だけでは決済できないように制限することができ、元々有効に設定されている。

3Dセキュアに対応した店舗でないと、この設定は効果を発揮しないため、流出したカード情報を3Dセキュアに対応していない店舗で使用された場合は、被害を防げない。
だが、抑止力はあるため設定しておくに越したことはない。

これもほとんどのクレカブランドで設定できるはず。設定できないブランドなんか(ry

ブラウザのシークレットモード

たまに、ブラウザって何？と聞かれることがあるが、SafariとかChromeとかFirefoxとかEdgeとかの総称である。

ブラウザにはCookieと呼ばれる仕組みがあり、Cookieを用いることでログイン状態を保持したり、ユーザの行動から興味がありそうな広告を表示したり、といったことを実現できる。

ネットショップの欠陥によって、クレカ情報等がCookieに平文で保存されていた場合、その後悪意のあるWebページにアクセスしただけで、クレカ情報等を盗まれるリスクがある。(基本的には異なるWebページ間でCookieから情報を取得することはできないが、頑張ればできると思う。)

最初に述べたブラウザでは、シークレットモード(プライベートブラウズなどブラウザによって呼び方は様々)が搭載されており、このモードに切り替えるとブラウザを終了した時にCookieを抹消するため、前述ようなリスクに対して効果的だ。

シークレットモードにいちいち切り替えるのが面倒な僕は、常にシークレットモードでブラウザを使用している。

入力フォームがあるリンクは疑ってかかる

入力フォームがあるWebページへのリンクをメールやSNS等で受け取ったことはないだろうか。
僕は、たとえ信頼できる相手からのメッセージだとしても、そのようなリンクは怪しいリンクだと思うようにしている。

怪しいリンクとは、フィッシング詐欺で用いられる偽ページへのリンクをよく指す。
正直、偽ページと本物のページを見分けるのは難しい。見分ける方法はいくらでもあるのでググってほしいが、僕の場合、怪しいと思ったリンクはクリック(タップ)しないようにしている。

例えば、クレカ会員用ログインページへのリンクだとしたら、Googleでそのクレカ会員用のWebページ名で検索し、検索結果に出た上位のリンクからアクセスするようにしている。
Googleの検索結果は、セキュリティレベルの高いWebページを検索結果の上位に表示する傾向にあるため、偽ページが検索結果に出てくることはほぼ無いからだ。(100%無いとは言い切れないので、偽ページの見分け方の知識と合わせて判断するのがベスト)

また、頻繁に利用するログインページは、ブックマークに登録しておき、そこからアクセスする癖を付けるのも良い。

パスワード管理はKeePassで

今回の流出疑惑とは直接関係ないが、パスワードの使い回しはダメ絶対。

そもそもパスワードの使い回しがダメな理由が分からない人は相当ヤバいので、「パスワード  使いまわし 危険性」などでググって理解を深めてから出直してほしい。

そんなの言われなくても分かっちゃいる。けどな、Google、Yahoo、Microsoft、Apple、Amazon、楽天、Twitter、Facebook、LINE、Netflix、Fulu、FANZA... それぞれのアカウントを異なるパスワードにしたら覚えられねーよ、と言う人向けに、KeePassの出番。

KeePassは、Windows向けパスワード管理ツールのひとつで、1つのパスワード(マスターキー)さえ覚えておけば、それぞれのアカウントのパスワードは覚えなくて済む優れもの。

KeePassを使って保存したアカウント情報は、マスターキーが無いと閲覧できないように暗号化されたデータベースとして端末上に保存される。

iOSでは「KeePassium」、Androidでは「Keepass2Android Offline」を用いることで、Windows以外のOSでもKeePassと同等の機能が利用できる。

使い方はネット上にたくさん情報が転がっているので、ググってほしい。
クラウドサービスと連携する記事がたまにあるが、個人的にクラウドサービスを信用していないのでおすすめしない。
もし端末間で連携したいなら、自宅にownCloudなどでクラウドサーバを立てて、ローカルLAN内で連携することをおすすめするが、そんなことをできる人がこんな記事を読んでいるとは到底思えない。

パスワードは音楽に乗せて

KeePassのマスターキーは、絶対に強固なものにしなければならない。
なぜなら、マスターキーさえ分かってしまえば、保存されているアカウント情報すべてが見られてしまうからである。

人間の脳は不思議なもので、国語の教科書に乗っている詩を暗記するのは難しいのに、好きな曲の歌詞は完璧に記憶できる。
最後まで記憶していなかったとしても、最初の4小節分の歌詞をローマ字で打ち込んだだけでも軽く50文字は行くだろう。

数字とアルファベットの組み合わせとか、大文字小文字の組み合わせとか、難しいことを言ってくる人も中にはいるが、アルファベット小文字だけでも50文字ありゃどんな攻撃手法を使っても解読は不可能。
26の50乗を計算してみりゃわかる。
20文字でも1穰9928𥝱1488垓9520京9400兆パターンあるんで、まあ20文字もあれば生きている間に解読されることはないだろう。