点検 ネット口座のセキュリティ対策
7Payの不正利用という事件が報道されています。
ネットやスマホでお金を扱うのって、便利だけれど怖いですよね。
ある日、自分の口座が空になってしまったら...
金融資産の大半をネット取引の口座に置いている私ですので、この機会にもう一度、自分のセキュリティ対策をチェックしてみることにしました。
注:私はセキュリティの専門家ではありません。本記事に関して、セキュリティ的に有害な誤った情報を書かないよう細心の注意を払っておりますが、意図せずセキュリティ対策として不適切な方法を推奨してしまっている可能性もあります。
下記IPAや各金融機関のセキュリティページなどの、信頼のおける情報ソースもご確認ください。
また誤り、問題点等にお気づきになりましたら、ぜひご指摘くださるようお願いいたします。
一般的なセキュリティ対策
PCやスマホを使う上での一般的なセキュリティ対策は、たとえばIPA(情報処理推進機構)等にまとめられています。
情報セキュリティ啓発:IPA 独立行政法人 情報処理推進機構
これらを参考にして、私なりに重要だと思う、一般的なセキュリティ心得を列挙します。
・最新のOS(Windowsなら10)を使う
サポートの切れたバージョン(Windows 8など)は、絶対に使い続けてはいけません。大変危険です。
サポート期限内であっても、より新しいOSほどセキュリティ的に優れていると期待できます。
・セキュリティ対策ソフトを導入する
Windows 10の場合、標準搭載のDefenderで十分という意見もちらほら見かけますが、少なくとも今のところは、信頼できるセキュリティ専門企業(Symantec等)のセキュリティ対策ソフトの方が高い防御能力を持っているようです。
・OS等に最新のアップデートを適用する
OS、ウェブブラウザ、セキュリティ対策ソフトは、常に最新状態に保ちます。
Windows Updateなどの標準設定で問題ないと思いますが、Windowsが勝手にアップデートを始めないように設定変更した場合等は、注意が必要です。
・2段階認証を利用する
Google等のサービスでは,2段階認証や2要素認証などが提供されています。
アカウントの乗っ取りを防ぐために、これら追加の認証を利用しましょう。
次は、できる限りウィルス等に身をさらさないための注意点です。
- 怪しいソフトウェアをインストールしない
- 怪しいメール、特に添付ファイルを開かない
- メール内のURL(リンク)を安易に開かない
- ウェブブラウザで怪しいサイトを訪れない
- 怪しいUSBメモリを接続しない
利用者がインストールするソフトウェア、メール(添付ファイルを含む)、USBメモリ、ウェブサイトは主要な感染経路です。
メールにせよ、ウェブサイトにせよ、敵は自ら「怪しい」と名乗ってくれません。
ですので、すべてを避けることは難しいですが、できる限りの注意を払いたいものです。
公式ストアのアプリ(Google Play等)であっても、不正ソフトを完全排除できていないそうなので、ネット取引に使うPC、スマホ等にアプリをぽんぽんインストールするのは危険ですね。
銀行等からの正規のメールを装って不正サイトに誘導したり(フィッシング詐欺)、添付ファイルにウィルス等を紛れ込ませたりと、電子メールも油断なりません。
悪意のあるウェブサイトの中には、訪れただけで被害にあうケースもあります。
怪しくないはずのサイトが乗っ取られて細工される場合や、ネット広告に紛れ込んでいる場合もあります。
利用者側で100%防げるものではありませんが、自ら怪しげなサイトに行くのはやめましょう。
ネット取引のセキュリティ
ネット経由で銀行や証券の口座を利用する際は、大事な資産を守るため一層の注意が必要です。
ネット証券では、パスワードがネット口座を守る主要な手段になっています(残念ながら)。銀行と較べると、セキュリティ的には一段劣ると言わざるを得ません。
会社側は、出金先が本人口座限定ということで被害にあいにくいと考えているのかもしれません。
ですが、どんな巧妙な抜け道を考えてくるか分からない相手ですから、証券口座自体の防御は重要です。
銀行はパスワードに加えてもう一つ認証要素を増やすなど、ネット証券より安全な仕組みも取り入れています。
ですが、パスワードが重要な認証手段であることにかわりはありません。
安全なパスワード管理のポイントは、だいたい次のようなものです。
- 口座ごとに異なるログインID、パスワードを設定する
- 推測されにくいパスワードを設定し、漏れないように管理する
万一、あるサービスのパスワードが破られたときに、他のサービスに被害が及ぶのを防ぐため、口座ごと(というか、金融機関に限らず利用するネットサービスごとに)、必ず異なるパスワードをつけましょう。
多数のサービスで異なるパスワードを要求し、さらに「推測されにくいパスワードを設定しなさい」というのは無茶なのですが、仕組みとしてパスワードに頼っている現状ではしかたありません。
パスワードの作り方、管理の仕方については、こんな点に注意しましょう。
- 十分な長さ(たとえば10文字以上)と多くの文字種(大文字、小文字、数字、記号)
- たらめな文字の羅列にする
- キーボードの配列(たとえばasdfghjk)や辞書に載っている単語は不可
- パスワードをメモするなら、人目につかないように厳重に管理する
- パスワードを定期的に変更するのはよいことだが、そのせいでパスワードが簡単になったり複数サービスで同一のパスワードを設定してしまうくらいなら、ちゃんとしたパスワードを変更せずに使い続ける方がまし
- パスワード管理ソフトを利用するのもよい
人力で安全なパスワードを設定・管理するのはすっぱりあきらめ、ランダムに発生させた文字列をメモかパスワード管理ソフトで管理するのが最善だと思います。
もし紙のメモにパスワードを記録する場合、紙に書かない秘密のルール(たとえば本当のパスワードは、メモの文字列の末尾にZZを付加する、など)を追加すると安全性が高まります。
パスワード管理以外の注意事項は、
- 金融機関へのアクセスは必ず登録済みのブックマーク経由で
- フリーWiFiから口座にアクセスしない
- 自分所有のPC等以外から口座にアクセスしない
でしょうか。
予め登録したブックマークから口座にアクセスするのは、詐欺サイト等に誘導する「フィッシング詐欺」にあわないようにするためです。
金融機関から「至急パスワードを変更してください」というようなメールがきたときにも、メール中のリンクではなくブックマークからアクセスすれば、不正なサイトに誘導される心配がなくなります。
信頼できないネット環境や機器からログインするのはやめましょう。
フリーWiFiの中には、実態は通信を盗聴するために仕掛けた罠だったという、怖いものもあるそうです。
ネットカフェなどのPCは、安全に管理されているケースがほとんどだと思いますが、やっぱり心配です。
パスワード以外のセキュリティ
パスワード以外のセキュリティ対策が提供されている場合は、できる限りすべて利用しましょう。たとえば、
- ネット振込み、ATM引出し、デビット等の出金上限額を0円に設定
- 取引通知メールはすぐに確認できるアドレスで受信
- 取引パスワード(または暗証番号)は、ログインパスワードと異なる方法で管理
- 住信SBIネット銀行ではスマート認証アプリ
- 認証アプリにも必ずパスコードを設定
- 三井住友銀行ではパスワードカード(アプリではなく)
- パスワードカードにも必ずパスコードを設定
- 登録PC以外からのログイン制限(SBI証券など)
- 出金先金融機関の変更制限(楽天証券)
- 楽天銀行のメールによる「ワンタイム認証」は要注意
それぞれの対策は効果の小さそうなものもありますが、リアル世界の空き巣対策と同様に、そうしたものも積み重ねて侵入を難しくすれば、それだけ安全性が高まります。
上記の3番目は重要なポイントだと思います。
取引パスワードをログインパスワードと同じ方法(たとえば同じメモや、同じパスワード管理ソフト)で管理した場合、「ログインパスワードを破られる」=「取引パスワードも破られる」になってしまいます。
可能な限り、ある箇所を突破されても別の防御策に影響しないようにしましょう。
アプリやカードによる認証はよい方法です。利便性ではアプリが勝りますが、物理的なカードを選択できるなら、そちらを選びましょう。
楽天銀行の「ワンタイム認証」は、使い方を誤ると効果が半減します。
つまり、口座アクセスに使っているPCやスマホで認証メールも受け取っている場合、そのPCなりスマホなりを不正利用できる者は認証メールも盗み見ることが可能なので、不正アクセスを防ぐ効果は低くなります。
認証メールを別のスマホ等で受信すれば安全性が高まりますが、なかなか難しい場合も多そうです。
同じ機器で受信する場合は、認証メールの受信アカウントを普段使いのものと分け、受信のたびにパスワードを入力するなどの対策が考えられますが、そのような手間を必要とすること自体、あまり筋のよいシステムでないと感じます。
この問題は、住信SBIネット銀行ではスマート認証アプリでも同じことなのですが、アプリ起動のパスコードを設定できる点でいくらか安全です。
私のセキュリティ対策
私が実際にとっているセキュリティ対策は、次のようなものです。
- ネット取引にスマホは使わない
- ネット取引専用のPCを用い、他の用途には使わない
- 楽天銀行の認証メール受信や住信SBI銀行のスマート認証にはスマホを用いる
- パスワード管理にブラウザのパスワードマネージャを使い、パスワードデータはクラウド上ではなくネット取引専用PC内に記憶(もちろんマスターパスワードを使って暗号化)
- 取引パスワード(または暗証番号)はパスワードマネージャに記憶させない
- 証券口座の出金先は最も安全そうな三井住友銀行を指定する
私は金融機関へのアクセスに、いつも持ち歩くスマホを使いません。
「怪しいソフトをインストールしない」「怪しいサイトを開かない」などを、スマホでは守れていないからです。
スマホを使えば外出中にネット口座を利用できて便利ですが、安全を優先します。
ネット取引には、専用のPCを使っています。
この専用PC(やタブレット)という対策は非常に有効と思うので、強くおすすめしたいです。
とりあえずウェブブラウザが動くくらいのスペックで十分です。激安PCでも中古でも構いません。
ただし聞いたこともないようなメーカーの激安タブレットは、やめておいた方が無難かもしれません。
情報を盗み出す裏口などが、出荷段階で紛れ込んでいる製品もあるようですので。
最後に、SamsungのスマホGalaxyで使えるセキュリティ機能について。
Galaxyには「セキュリティフォルダ」という、隔離された領域を作る機能があります。私は、住信SBIのスマート認証アプリや楽天銀行の認証メールの受信ボックスを、この「セキュリティフォルダ」内に置いています。
「セキュリティフォルダ」がどのくらい安全性を高めてくれるかは不明ながら、Galaxyユーザでしたら利用する価値はあると思います。
大切な資産を守るため、セキュリティ対策を強化しましょう。