iPhoneのセキュリティとキャリアの2段階認証を考える

f:id:kagaminonakanoalice:20181119190719p:image

あなたは2段階認証を設定していますか?

 

本日iPhoneのiMessageに届いたメッセージ

【(キャリア名)からの重要なお知らせ】

三者が利用者のIDやパスワードを不正に入手し、Webサービスにログインを試みる事例が発生しております。
不正ログイン対策として、2段階認証のご利用とパスワードの適正な管理をお願いいたします。

[IDおよびパスワードの取り扱いに関するご注意とお願い]
https://******************************************

 

iPhoneの2段階認証は、設定しておくと、このiMessageに認証コードが届きます。

下に念のために確認した際の通知をそのままコピーしてきました。

 

[セキュリティコード] ******
[有効期限] 11/19 17:48
※******でログインした方に送信しています。

 

気になってこのブログを読んでいるなら、最低限これだけは覚えておいてください。

この種の通知やメールが本物かどうかわからないときは、「通知やメールに記載されているリンクは絶対に使わない」ことです。

「サイトに不正にログインされている可能性があります!」的な危機感を煽る断定的な文章の場合は特にです。

何故なら『そこからウイルスに感染したり、偽サイトへ飛ばされる確率が高い』からです。

面倒でも自分で検索に入力して公式サイトへ行き、そこからサポートや問い合わせリンクを探す方法が安心確実でオススメ。

本当にヤバければ、ここで直ちに警告画面が表示されます。この場合は通知は本物だと考えて対処します。

何の問題も起きていなければ通常画面が表示されて、メールや通知が偽物だったことを確認できます。

ポイントは通知やメールのリンクからではなく、それが本物かどうかをまず確認するために「新たに検索エンジンから検索してサイトに行くという “別ルート” を使う」ことです。

 

 

不正ログイン被害に遭うのは、誰でももちろんイヤなわけですが、2段階認証の設定や入力が必要なシステムが面倒だと思っているなら、こういうふうに考えてみませんか?

たしかに2段階認証の設定も仕組みも面倒くさいのですが、被害に遭ってから「それを阻止する」のも、そのあとで「被害を回復する」のも、それよりもっと大変です。

だって、まずは「サイトに自分が本人だと証明する」必要がありますよね。

これがそう簡単にはいかなかったり、手間や時間がかかるのも、容易に想像がつくと思います。

簡単にできるようなら、なりすましも簡単だということになりますから。

 

お次は「被害状況の確認」ですが、大抵は「メールでのやりとりに終始する」と想定されます。

こういう時、Webサイトの問い合わせ電話なんかは、まず繋がらないと思っておくほうが賢明です(個人的意見)

メールで対処にかかっても、仕事をしていたら、メールが届くたびに即対応なんてしてられませんから、悠長に時間をかけて「メールで説明なんかしてる間も被害は拡大している」と考えるべきです。

実質的な被害も無論ですが、何かトラブルがあった場合、多くは「その対応に取られる時間的被害や影響のほうが尋常じゃない」のです。

他にも「対応の遅れが原因で二次三次被害に遭う」可能性だって高まるかもしれません。

そんなことになるくらいなら、時間があるときに2段階認証を設定しておいて、面倒でもコードを取得して入力する程度の手間をかけたほうがまだマシです。

そう思いませんか?

 

私はiPhoneのアップルIDとキャリアのアカウントの両方に2段階認証を設定しています。

端末にはパスワードもカード情報も保存しないし、それらの保存を持ちかけてくるグーグルChromeのアプリもiPhoneには入れていません。

そんなの面倒だと思いますか?

でも、このやり方で今使っているiPhoneにはスパムメールの一通すら来たことはありません。

だからスパムメールをうっかり開いてしまったり、やばいリンクを踏んでiPhoneの中のデータを盗まれる被害とも無縁でいられるのだと考えています。

 

他にも、詐欺ではないにしろ、できれば顧客の個人情報やデータが欲しいのは、キャリアもアップルも同じだと思うので、2段階認証だけで安心したりしないほうが賢明だと私は考えています。

これは銀行アプリにだって言えることで、銀行系アプリの利用には面倒な手順が付いてくるぐらい誰でも知っていますよね?

私の場合も専用のカードとワンタイムパスワード生成機の両方がないとアプリは使えません。

これにさらに質問への答えだの、確認用パスワードの入力だのまで必要で、家賃を振り込むだけなのに、時間がないときにはキレそうになるくらいアプリのセキュリティは厳重です。

じつはこのアプリにも各種個人情報を入力するページはあるのですが、それがあるのを確認した後は、私は一度も開いたことがありません。

考え方としては、提出するつもりもない個人情報を自主的に入力することで、銀行側がアプリを通じてそれを取得なり把握できるわけで、だからそのまま放置してるわけです。

だって、そもそも顧客の個人情報を収集するという目的がなければ、それを入力するページなんて必要ないですよね?

要するに個人情報やパスワードなどは、知られたくなければ端末に保存しないのがいちばん確実だということです。

キャリアやアップルには「そこも読み取れる」わけですから。

 

2段階認証とは、そういうものを守ってくれるためのものではなく、「誰かが勝手なことをやろうとするのを阻止する」または「そういう奴がいたら知らせてくれる」システムなのです。

いわゆる “転ばぬ先の杖” 的なものでしょうか。

転ぶまでは必要ないけれど、転ぶ心配を軽減してくれるのが2段階認証だと思います。

まだの方は一度くらい検討してみてはいかがでしょうか。