マッチングアプリを利用していて意気投合した異性と、将来のために資産形成を考えることになった。相手が紹介する投資サービスを利用することになり、暗号資産を入金した。何度か取引する取引所のパスワードを忘れないように、いままで他のサービスで利用していたものと同じパスワードを設定したが、ある日何者かにログインされ、暗号資産を失ってしまった。
他人にパスワードを使用されてしまう不正ログインを防ぐには、推測されやすいパスワードを使わない、他のサービスと同じパスワードを使いまわさない、強固なパスワードを設定するなどの対策が重要です。
強固なパスワードを作成するには
強固なパスワードの作成については、NISCやJPCERTのドキュメントに詳しく書かれています。
サービスによっては、パスワードの文字数や使用できる文字に制限がある場合があります。強固なパスワードを設定できないサービスは、パスワードが解読されてしまうリスクを許容できる範囲(取引内容、金額)で利用しましょう。
パスワードの解読や推測には、よくパスワードに利用される単語のリストや、実社会やネット上で収集したあなたについての情報が利用されることがあります。推測しやすい文字列(「password」のような文字列、「123456」「qwerty」のようなキーボード上の文字の配列順)や、あなたを知る人が推測しやすい情報(電話番号、生年月日、記念日、出身地、自分や家族の氏名、ペットの名前、好きな製品・有名人の名前等)は使用しないようにしましょう。
パスワードは他人に知られないようにしましょう。他人に教えたり、他人の目につくところにメモを残したりしないのはもちろん、パスワードを入力する際に周囲から覗き込まれていたり、撮影されていたりしないかにも注意を払いましょう。
一つのサービスでパスワードの漏洩やフィッシングの被害が発生した場合に、他のサービスでもパスワードを悪用されないように、異なるサービス間でパスワードを使い回すのはやめましょう。
サービスごとに異なるパスワードを保管したり、安全なパスワードを生成するために、1PasswordやBitwardenなどのパスワード管理ツールを利用する方法もあります。
また、暗号資産交換業者などのサービス提供事業者が推奨する別のアプリ(認証アプリ、ワンタイムパスワードアプリと呼ばれることもあります)等による2要素認証が利用可能な場合は、導入することを強くお勧めします。
また、IDやパスワードが乗っ取られた時のために、アカウントの緊急停止の手続きの有無やその方法を公式サイトで調べておきましょう。
入力したパスワードが漏洩しないように、OSやブラウザ、ウイルス対策ソフト等には最新のアップデートを適用し、脆弱性を利用した攻撃を防ぎましょう。Webサイトの情報を読み取る権限を必要とするブラウザ拡張機能の利用はなるべく避け、必要な場合にだけ権限を有効にするなどの方法が有効です。マルウェアへの感染を防ぐために、日頃から不審なファイルは開かないようにしましょう。
複雑なパスワードを覚えておくのが面倒だと思っていた。ただ、毎回ログインページで「パスワードを忘れた」のリンクから操作すれば、複雑なパスワードを自動的に再設定・メールで通知してくれることに気が付いたので、毎回パスワードリセットを依頼して、そのまま取引をしていた。 ある日、ポータルにログインするために、いつものようにパスワード再発行を依頼したところ、「そのメールアドレスは利用されていません」と言われ、ログインできなくなってしまった。
メールやSMSといった外部からの連絡手段は、少なからず盗聴のリスクがありますので過信しないようにしてください。
パスワードリセットによりメールやSMSで通知されたパスワードが盗聴されていた場合、攻撃者は簡単にログインできたり、あなたに知られずにメールアドレス、ログインID、パスワード等を変更したりすることができてしまいます。
パスワードリセットを利用して、パスワードがメールやSMS等で通知された場合は、直ちにかつ必ずパスワードを変更するようにしてください。
推測されやすいパスワードを用いない、他のサービスと同じパスワードを使いまわさない、強固なパスワードを設定するなどの基本的な対策はもちろんですが、対策として、交換所・販売所が推奨する別のアプリ(認証アプリ、ワンタイムパスワードアプリと呼ばれることもあります)等による2要素認証が利用可能な場合は、導入することを強くお勧めします。
また、IDやパスワードが乗っ取られた時のために、アカウントの緊急停止の手続きの有無やその方法を公式サイトで調べておきましょう。
セキュリティが不安なので、パスワードは複雑なものに設定した。さらに、ログイン時にはSMSでワンタイムURLが通知されるように設定しておいた。ところが、交換所に久しぶりにログインしたら、資産が無断で他人のアドレスに送金されてしまっていた。
何らかの原因でIDやパスワードが漏えいした場合、メールやSMS等も漏えいしている可能性が高いです。メールやSMSで通知されるワンタイムURLや認証コード(4~8桁程度の数字)も漏えいしていることから安全とは言えません。メールやSMSを過信しないようにしましょう。
対策として、交換所・販売所が推奨する別のアプリ(認証アプリ、ワンタイムパスワードアプリと呼ばれることもあります)等による2要素認証が利用可能であれば、導入することを強くお勧めします。もしそうした対策がとれない場合は、リスクを許容できる範囲(取引内容、金額)で利用するようにしましょう。また、IDやパスワードが乗っ取られた時のために、アカウントの緊急停止の手続きの有無やその方法を公式サイトで調べておきましょう。