iPhone 2段階認証と自分オリジナルなセキュリティを極めてみる

 

 

iPhoneの2段階認証は設定していますか?

f:id:kagaminonakanoalice:20190526040309j:image

 

本日iPhoneのiMessageに届いたメッセージ

【(キャリア名)からの重要なお知らせ】

三者が利用者のIDやパスワードを不正に入手し、Webサービスにログインを試みる事例が発生しております。
不正ログイン対策として、2段階認証のご利用とパスワードの適正な管理をお願いいたします。

[IDおよびパスワードの取り扱いに関するご注意とお願い]
https://******************************************

 

 

じつはこれ「2段階認証を設定させると見せかけて、不正なサイトに誘導してIDやパスワードを抜き取る」詐欺メール被害が頻発したため、キャリアが送ってきたショートメールでした。

ウチには問題の詐欺メールは来なかったので見本画像はありません。

騙されたくないなら、このくらいは覚えておいたほうがいいかも…なセキュリティについての私的見解を書いてみました。

 

 

とにかく【何かを指示する重要メール】が来たら、必ず疑ってかかるのが基本!

 

いちばん簡単なセキュリティはコレで、2段階認証を設定してコレに気をつけておけば、大抵のことは回避できるのではないでしょうか。

2段階認証設定関連のトラブルについては、検索すれば山ほど出てくるので、そちらをご覧ください(さっそくコレだ💧)

機種変更したら認証コードを受け取れなくなった、キャリアや電話番号を変えたら使えなくなった…そんなのは事前に問い合わせなり変更なりしておけば回避できたことです。

パスワードを忘れたというよく聞くアレも、念のために機種変更前に確認して新しいのを設定しておけばよかったのでは?

そこだけ乗り切れば、また次の機種変更まで忘れててもいいわけだし。

この辺りで「いちいち面倒くさいなぁ」と思っているなら、詐欺メールが狙っているのはそういうユーザーだと自覚しておいたほうかいいです。

 

 

そもそもそちら側のユーザーなら、じゃあこれまでも2段階認証してないわけだし、詐欺メールの警告もシカトすればいいのに…って思うんですけどね。

そうしていれば、2段階認証もしてないけど詐欺被害にも遭わずにすむのでは?

私に言わせれば、何故そこでブレずに初心を貫いてメールをシカトする代わりに、こんなところで唯々諾々と従って詐欺被害に遭ってしまうのか全くわかりません💧

「アカウントやパスワードが漏洩したから変更してください」なんてメールの場合も同じです。

そんな警告メールが来るようなセキュリティを設定していなければ、そんなのが来るほうがおかしいと疑うべきだと思います。

 

2段階認証にしろ、アカウントやパスワードの設定が必要なセキュリティ対策にしろ、普通は公式ページから規定の手順に従っておこなうものですよね。

だから面倒でやってないし、いちいち確認するのも面倒くさいし、2段階認証やったからってどれだけ効果あるの?とか思ってたりするんでしょ?

いっそログインしっぱなしにしておけば必要ないじゃん!とか思ってたりもするんですよね?

だったら、そんなユーザーに唐突に、メールなんかで簡単に設定できる2段階認証を勧めてくる時点で、どこか怪しいと疑うべきです。

あるいは「うるせえな!2段階認証はしないって言ってるだろ」と、メールは即削除です。

これはこれで、自分の信念を貫くほうが、結果的によほど安全だと思うんですよね。

無論これは極論で、詐欺被害が頻発しているから本物のキャリアが本当にセキュリティを勧めてきている場合もあります。

でも、どうせ勧められてもやらないなら、本物でも詐欺メールでも関係ないですよね。

だから相手にしないしメールも見ないというのも、広い意味で、セキュリティの範疇に入ると考えます(個人的な意見です)

 

詐欺メールが届いても、あらかじめ2段階認証を設定している場合は、正規の手順でログインして確認すればいいだけです。

私はキャリアもアップルもグーグルも2段階認証を設定しているので、すぐに通常手順で(メールのリンクではなくwebページから)キャリアの公式へログインしました。

確認したところ、異常はありませんでした。

そもそも詐欺メールじゃなく、私のところへ届いたのは、キャリアの本物のメールだったので当然です。

あの手の詐欺メールは、こういうユーザーに対しては意味がないのです。

狙われているのは、「あ、そうなの?そういえば2段階認証やってないから今やっとくか」と詐欺メールに引っかかってくれる人達や、「パニックになってメールの指示にそのまま従ってしまう」人達なのです。

 

重要メールは「重要」という言葉を使っている時点でまず疑ってみるべきです。

それが「誰にとって重要なのか」がポイントで、大抵はユーザーよりも、アップルやキャリアや詐欺サイトにとって重要な場合がほとんどなんですから。

つまり、アップルやキャリアから正規の手段で送られてくる重要メールも、ユーザーにとってはぜんぜん重要じゃなかったりする可能性もあるわけです(笑)

 

とにかく重要メールが本物かどうかわからないときは、「通知やメールに記載されているリンクは絶対に使わない」ことです。

「サイトに不正にログインされている可能性があります!」的な危機感を煽る断定的な文章の場合は特にです。

何故なら『そのリンクからウイルスに感染したり、偽サイトへ飛ばされる確率が高い』からです。

面倒でも『自分で検索エンジンに入力してWebページの公式サイトへ行き、そこからサポートや問い合わせリンクを探す』方法が安全だしオススメです。

というか、ヤバそうな時ほどいつもの手順を厳守するのが鉄則と覚えておきましょう。

これは詐欺メールに限らず、日常生活や仕事上のトラブルシューティングなんかでも同じです。

パニックにならず、まずは深呼吸でもして落ち着きましょう。

本当にヤバければ、公式でも直ちに警告画面が表示されます。この場合は通知は本物だと考えて対処します。

何の問題も起きていなければ通常画面が表示されて、メールや通知が偽物だったことを確認できます。

大事なことなのでもう一度言います。

ポイントは、通知やメールの内容が本物かどうか確認するために「新たに検索エンジンからwebの公式サイトに行くという “別ルート” を使う」ことです。

 

 

不正ログイン被害に遭うのは、誰でももちろんイヤなわけですが、2段階認証の設定や、入力が必要なシステムが面倒だと思っているなら、こういうふうに考えてみませんか?

たしかに2段階認証の設定も仕組みも面倒くさいのですが、被害に遭ってから「それを阻止する」のも、そのあとで「被害を回復する」のも、それよりもっと大変です。

だって、まずは「被害に遭った自分が本人だと証明する」必要がありますよね。

アカウント乗っ取りなどの被害内容によっては、これがそう簡単にはいかなかったり、手間や時間がかかるのも、容易に想像がつくと思います。

簡単に本人確認できるようなら、なりすましも簡単だということになりますから。

 

お次は「被害状況の確認」ですが、キャリアの窓口に駆け込むのでない限り、大抵は「電話かメールでのやりとりに終始する」ことになります。

その場合、キャリアやアップルの問い合わせ番号ならともかく、Webサイトの問い合わせ電話なんかは、まず繋がらないと思っておくほうが賢明です(個人的意見)

電話で何か問い合わせをしたことがあれば知ってると思いますが、これが結構なんだかんだで時間を使うんですよね。

電話自体がなかなか繋がらないなんてこともしょっちゅうです。

メールで対処にかかっても、仕事をしていたら、メールが届くたびに即対応なんてしてられませんから、悠長に時間をかけて「メールで説明なんかしてる間も被害は拡大している」と考えるべきです。

実質的な被害も無論ですが、何かトラブルがあった場合、多くは「その対応に取られる時間的被害や影響のほうが尋常じゃない」のです。

他にも「対応の遅れが原因で二次三次被害に遭う」可能性だって高まるかもしれません。

そんなことになるくらいなら、時間があるときに2段階認証を設定しておいて、面倒でも認証コードを取得して入力する手間をかけたほうがまだマシです。

私ならそう考えますけどね。

 

 

ところで、私はアップルに情報を教えたくないのでApple Payは使いませんし、iPhoneにクレジットカード情報を登録もしていません。

Googleにはもっと教えたくないので、ChromeGmailもグーグルアカウントでのログインもiPhoneでは利用せず、グーグル関係はAndroidタブレットだけでおこなっています。

別の言い方をすると、グーグルアカウントやChromeを使うためだけに、 iPhoneユーザーなのにAndroidタブレットも使っているわけです。

個人情報が山ほど入っているiPhoneはなるべく危険から遠ざけて、iPhoneじゃなくてもできることは個人情報を入れていないAndroid端末を活用する…そういうセキュリティ方法もあるわけです。

 

アップルやグーグルから個人情報を守る件はともかく、2段階認証を設定しておけば、第三者に対する個人情報の保護やアカウント乗っ取りを防ぐ役には立つかもしれません。

2段階認証は、そういうものを守ってくれるためのものではなく、「誰かが勝手なことをやろうとするのを阻止する」または「そういう奴がいたら知らせてくれる」システムなのです。

いわゆる “転ばぬ先の杖” 的なものでしょうか。

転ぶまでは必要ないけれど、転ぶ心配を軽減してくれるのが2段階認証だと思います。

 

だからといって、アップルが勧めるように「本人確認のためのクレジットカード登録」が必要だとは、私は思わないんですよね。

私は怪しげな詐欺メールを警戒するのと同じだけ、アップルやキャリアの都合による必要以上の個人情報の登録要請に対しても警戒します。

アップルやキャリア経由で個人データが流出する可能性や、個人情報を企業に売買される可能性も皆無ではないからです。

私はそういう基準で自分なりのセキュリティを設定しています。

何でもかんでも同期して、アップルやキャリアやグーグルに個人情報をクラウド上で管理されるなんて、私なら絶対にごめんですが、任せておくほうが安全で便利じゃんと考えるひともいますよね。

アップルやキャリアに騙されるのは仕方ないし構わないと思うのであれば、言いなりになっておくほうが色々と便利かもしれません。

が、そこそこ安全で便利な機能と引き換えに全面的に信用してしまうようだと、警戒感が薄れて「もしもこんなことが起きたらどうする?」なんてことも考えなくなると思うんですね。

いわゆる「危機管理意識」の欠如です。

言い換えれば、本当にヤバい事態になってもどうすればいいのか、普段から考えたこともないから自分では対処できないし、キャリアかアップルか誰かに聞いて指示待ちすることしか思いつかないわけです。

はたして、それでどこまで安全なのか、この機会に一度ゆっくり考えみるのもいいかもしれません。