<実践> Web メールのセキュリティを強化する 5つのヒント

IT・IT製品TOP > Key Conductors > 林 知典(ソフォス株式会社) > <実践> Web メールのセキュリティを強化する 5つのヒント
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

<実践> Web メールのセキュリティを強化する 5つのヒント

エンドポイントセキュリティ 2014/12/16

〜安心・安全な Web メールの利用〜

現在、Web メールのアカウントを自分の主要なメールアドレスとして利用している人が多く見られます。使い勝手がよいだけでなく、Android や iOS や Windows 8 (Windows Phone 8) 等のスマートデバイスを利用する際に、必須になっていることもあり、インタープロバイダーより提供されるメールアドレスから Web メールへと移行しているケースが多くみられます。特に、Gmail、Yahoo Mail、Outlook.com (旧 Hotmail) が大部分を占めており、このビッグ 3 の利用者数は 2年前で 10億人と推定されていました。

この Web メールは、友人や家族の連絡から行政機関、金融機関、ショッピングサイト、携帯キャリアなどのオンラインサービスで様々な目的で利用されています。そして、これらの Web メールはサイバー犯罪者の恰好のターゲットとなっているため、利用者自身が Web メールアカウントのセキュリティを強化することが極めて重要です。そこで、サイバー犯罪者によるアカウントへのハッキングを防止するために必要な、5 つのヒントをご紹介していきたいと思います。

今回は、その Web メールのセキュリティを強化するポイントをご説明いたします。本記事をご覧になった皆様が、ご家族、ご友人へのアドバイザーとしてセキュリティの啓蒙をしていただけると幸いです。

1. パスワードを強化する

まず、Web メールのパスワード強化です。パスワードは、標準とも言える基本的認証であり、推測も解読も困難になるような強固なパスワードを作成することです。そして、同じパスワードを別のサービスでも使い回さないことが重要になります。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

とはいっても、異なるパスワードをたくさん覚えておくことは非常に困難です。そこで、この問題を解決してくれるのがパスワード管理ツールです。(代表的なパスワード管理ツールとしては、筆者も利用している「LastPass」などが有名です。)

パスワード管理ツールは、まずマスターパスワードを設定します。利用者はこのパスワードだけ覚えればよいのです。当然、このパスワードは強固なものにしなければいけません。辞書にあるような言葉は避けて、大文字、小文字、数字や記号を組み合わせて 8文字 (できれば 12文字) 以上で作成しましょう。

このマスターパスワードは、パスワード管理ソフトが管理する ID やパスワードの暗号化・復号化に利用されます。多くの場合、暗号化されたデータは、パスワード管理ソフトの会社が提供するクラウドストレージに保存されます。それによりいつも利用する PC だけでなく、その他の PC やモバイルデバイスからも利用が可能になります。パスワードデータは暗号化されていますが、クラウドにデータを保存するのに抵抗がある方も多くいらっしゃるでしょう。パスワードは安全な場所に保管しさえすれば、紙に書き留めることは問題ありません。間違っても、ポストイットに記載して、だれもが見えるところにを貼っておくことはしないでください。

パスワードを保護するには、フィッシングサイトを見分けることも重要です。
せっかく強固なパスワードを設定してもお使いの Web メールのサイトに似せたフィッシングサイトで、パスワードを入力してしまっては意味がありません。習慣づけることとして、パスワードを入力する前には、必ず https から始まる文字列であることを確認します。ログインするサイトは、可能な限りお気に入りに登録しておいて、そこから起動しましょう。メールの宛先などは簡単に偽装できますので、メール本文のリンクからは、起動するのは避けた方がいいかもしれません。(欲を言えば、証明書まで確認するのが理想ですが、利便性も考え、ここでは割愛します)
パスワード管理ツールを利用している場合、登録した正規のサイト以外では、パスワード入力は自動的に入力されないため便利です。

また、パスワードを忘れた場合の復旧 (リセット) 方法を確認して正しく設定してください。パスワードの復旧設定には、連絡用として登録する別のメールアドレスや携帯メールアドレスが必要です。そこで理想的なのが、復旧用のメールアドレスは、個人用の携帯電話メールアドレスを登録することです。当然、そのメールアカウントや携帯電話番号が割り当てられたスマホのセキュリティも可能な限り実施する必要があります。

さらに、「セキュリティ質問」の設定です。
選択した問題の答えは、簡単には分からないものにすることが重要です。例えば、母親の旧姓や生まれ育った町などは、秘密ではありません。最初に飼ったペットの名前や初めての海外旅行などでさえも、今まで投稿した Facebook や Twitter などの SNS から簡単に見つけ出せるかもしれません。
ここで理想的なのは、答えを予測不可能な文字列にすることです。お気づきかと思いますが、質問の回答として正しくなくてもよいのです。例えば、自分が生まれ育った町は、本当に育った町の名前でなくてもいいのです。さらには、町の名前ではなくても意味をなさない文字列でもいいのです。これらの回答は、紙に書き留めて安全な場所に保管してもよいし、記憶し難い場合は、パスワード管理ツールのメモなどに保存しておくのも 1つの方法です。

2. ログイン時のセキュリティを強化する (2要素認証の利用)

セキュリティ意識の高い Web メールサービスプロバイダーは、2要素認証 (2FA) という認証方法をオプションとして提供しているはずです。この認証方法は 2段階認証やワンタイムパスワードなど様々な方法があります。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

具体的には、パスワードを入力した後に、携帯端末に SMS で送られたコードを入力したりするというような、ログイン時の認証プロセスに 2つ目の要素を追加することです。これにより、サイバー犯罪者が Web メールアカウントを乗っ取ろうとしても、大きな障害となります。たとえサイバー犯罪者が、Web メールのパスワードを入手できたとしても、2要素認証が有効になっていれば、2つめのコードにアクセスできない限り Web メールアカウントを乗っ取ることはできません。

一部の Web メール提供者は、コード生成のデバイスやアプリを使用できるようにしています。たとえば Google の Authenticator アプリは Gmail と Outlook.com の両方に対応しています。このアプリは、Dropbox、Evernote、Facebook、WordPress などのオンラインサービスや多数のパスワード管理ツールでも利用できます。毎回コードを入力するという手間を省くには、最初にコードを入力するときこの PC (デバイス)を信頼するというようなボックスにチェックを入れます。こうすることで、その PC (デバイス)でログオンするときは、通常のパスワードを入力するだけで Web メールを利用できます。サイバー犯罪者は、物理的にその PC (デバイス)にアクセスできない限り、乗っ取りを試みる際にはコードの入力が必要になります。ただし、自分だけが利用するスマートデバイスやユーザーの切り替え (ログオンユーザーを分けている) を設定している PC 以外では、「デバイスを信頼する」にチェックを入れないでください。

■参考 Web メールの 2 段階認証の設定方法については、以下をご覧ください。

3. Web メールへアクセスするデバイス自体のセキュリティを強化する

自分の「信頼できる」デバイスが、本当にその信頼に値するかを確認する必要があります。サイバー犯罪者は、どの経路から侵入してくるか分からないため、確認すべき点は、以下の 3 点です。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

・セキュリティ(マルウェア)対策ソフトやファイアウォールが適切に設定され、最新の状態になっていること。
・OS、利用するすべてのアプリ、狙われる傾向が高い Java / Flash / Acrobat などが最新の状態になっていること。
・スマートフォンなどのデバイスが最新の状態になっていること。

これらが、最新の状態になっていることで、PC やスマートフォンへのマルウェアの侵入の大部分を防ぐことができます。

また、以下の 3 点を有効にすることで、紛失や盗難時に操作できる状態で他人にデバイスが渡ることを防ぎます。

・PC のスクリーンロック
・スマートフォンの自動ロック
・可能な限り強固なパスワードで保護

さらに、公共のマシンを使用して Web メールにアクセスするのは出来るだけ避けましょう。どうしても、インターネットカフェやホテルに設置の PC からログインしなくてはならない場合には、以下の 2 点を実践してください。

・十分な注意を払い、2FA 2要素認証 (2FA) が有効になっていることを確認
・自宅に戻ったら、パスワードの変更の検討

4. 定期的に設定などを確認する

Web メール提供者もセキュリティ対策は重要視しており、新たなセキュリティ設定やプライバシー設定の機能追加をすることがあります。新しいセキュリテイl設定が追加された場合は、内容を確認して、必要であれば利用しましょう。

また、アカウントが侵害され、サイバー犯罪者により設定が変更されていないかどうかも確認します。
おかしいな? と思ったり、友人より変なメールが来たと指摘された場合は、必ずログイン履歴などを確認しましょう。最近のログインをチェックして、利用していない場所や時間帯にログインされてないか確認してください。

その他、別アカウントへの電子メールの自動転送もチェックします。
もし、悪意ある人物がアカウントにアクセスしていた場合、この機能を使って情報を転送している可能性があります。身に覚えのないアドレスが含まれていないか確認してください。
Gmail などの一部のサービスでは、 「代理の」アカウント、Web サイト、またはアプリケーションに対して、自分のアカウント (連絡先やメールを含む) への全アクセス権限を付与することもできるので、この機能は自動転送よりもはるかに危険です。不要な情報をアカウントに保管しないようにすることも重要です。

5. コンテンツのセキュリティを確保する

最後は、先日発生した有名人のプライベート写真の流出を受けてのアドバイスです。
メールアカウントは、さまざまなサービスと連携しています。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

例えば、Google ドライブ (Gmail)、OneDrive (Outlook.com)、Yahoo!ボックス (Yahoo!メール) などのオンラインストレージは、Web メールアカウントでアクセスでき、多くの方々が自分の大切な情報を気軽に保存しています。Web メールアカウントが乗っ取られた場合、当然これらの情報も漏えいするというリスクがあるということも認識しておく必要があります。

メールを書く際や、オンラインストレージにデータを保存する際にはもう一度考えてみてください。

特に機密性が高く、漏えいすると困る情報がある場合、状況によってはその情報を電子メールやオンラインストレージ経由で送信するのは安全ではないかもしれません。
本当に重要な内容は、メールの本文には書かず、ファイルに内容を記載し暗号化してからメールに添付したり、オンラインストレージに保存するほうが安全でしょう。

まとめ

Web メールのセキュリティを強化する5つのヒント 

1. パスワードを強化する
    パスワードは強固な物をつかい、他のサービスで利用しない。
    覚えられない場合は、パスワード管理ツールの導入を検討。
 
2. ログイン時のセキュリティを強化する (2 要素認証の利用)
    2 要素認証やワンタイムパスワードを設定する。
    アカウントのパスワードが流出したときでも、2 要素認証により安全が保たれる。

3. Web メールへアクセスするデバイス自体のセキュリティを強化する
    ・マルウェア対策ソフトやファイアウォールが最新の状態になっていること。
    ・OS、利用するアプリなどが最新の状態になっていること。
    ・スマートフォンなどのデバイスが最新の状態になっていること。

4. 定期的に設定などを確認する
    新しいセキュリティやプライバシー機能があれば確認し、使用を検討する。
    ログオン履歴に不正なアクセスがないか確認する。

5. コンテンツのセキュリティを確保する
    メールアカウントさまざまなサービスと連携しており、アカウントが乗っ取られると、連鎖した情報漏えいのリスクがあることを認識する。
   本当にメール添付やストレージ経由で送る必要があるかどうか確認する。
   どうしても送らなければいけない場合は、ファイルに内容を記載し、暗号化してメール添付やストレージ経由で送る。

最後に
本記事をご覧いただき、誠にありがとうございます。
是非、ご家族やご友人にアドバイスをお願いいたします。

なお本記事は、弊社 NakedSecurity の記事 を日本向けに再編集しております。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30007658


IT・IT製品TOP > Key Conductors > 林 知典(ソフォス株式会社) > <実践> Web メールのセキュリティを強化する 5つのヒント

このページの先頭へ

キーマンズネットとは
2001年よりセキュリティ関連の仕事に従事。マルウェア対応や脆弱性情報の開示、開示後の対応を行う。2005年より、セキュリティ製品のチャネルマーケティングに就く。2008年より Linux / UNIX / Mac のセキュリティ対策に定評があるソフォスに入社。現在チャネルマーケティングとセキュリティの啓蒙活動に従事。

ページトップへ