私自身のメールアドレスとパスワードの流出が続いている。先日もマクロソフトのアカウントに不正ログインがあった。アクセス元はベトナムだった。幸いほぼ使っていないアカウントであり、何も被害はなかった。
主に5つぐらいのメールアドレスを使っている。ブログ管理やら通販用やらで増えてしまった。本当は1つのメールアドレスで分類して管理すれば良いのだが。。。
通販用のみに使っているメールアドレスですら、流出している。そういうことである。いよいよセキュリティー対策をしなければならない。
メールアドレスの流出をチェックするなら「Have I been pwned?」が有名だ。過去の流出データベースに該当のメールアドレスがあるかチェックしてくれる。メールアドレスが流出していれば、何かしらパスワードも出回っている可能性が高い。
Have I been pwned?
https://haveibeenpwned.com
Have I been pwned?の使い方はGIGAZINEを参考にどうぞ
https://gigazine.net/news/20160428-have-i-been-pwned/
そういえば自分は、どれくらいのサイトやサービスへ登録しているのだろうか。使っていない物も含めると、メールアドレスは約10あり約100~200箇所にメールアドレスとパスワードを登録していた。
実際に使っている登録先は20程度である。みなさんもパっと思いつく登録先の4倍ぐらいは登録があるだろう。メールアドレスやパスワードを100~200箇所に登録していれば、それは流出して当然だろう。
今まで実際の被害が無かったことが幸運だった。当然ながら重要度の低いサイトには、同じパスワードを使っている。たぶん80箇所ぐらいは同じパスワードだ。
自分の定番のパスワードの流出をチェックしてみるとなんと12回もヒットする。まったく他人が同一のパスワードを使っている可能性もあるが、まあ広く出回っているということだ。
こちらで同じパスワードがどれくらい出回っているかチェックできる
https://haveibeenpwned.com/Passwords
今は被害がないけれど、このパスワードを使い続ければ、近いうちに何かしら被害が発生する。緊急でパスワード強化を行うことにした。
個人においてのセキュリティ対策を考えた場合、企業のような内部の犯行による情報流出は極めて少ない。ランダムや総当たりに近い要素を持つ、外部からの不正アクセスや登録サイトからの流出に対策を絞れば良いと考えた。
パソコン自体のセキュリティ対策と、外部登録サイトに対するセキュリティ対策の2つを検討してゆく。
まずパソコンのセキュリティを調べた。現在はカルペルスキーを使っている。高速インターネットであるニューロを契約している人は、無料でカルペルスキーが使えるからだ。調べて行くと最近は、Windowsの標準ウイルス対策ソフトディフェンダーも優秀であることが分かった。将来カルペルスキーのライセンスが切れたら、ディフェンダーで十分といえる。
Windows Defenderの性能は?他のセキュリティソフトの必要性と比較
https://cybersecurity-jp.com/security-measures/24469
パソコン自体のセキュリティに関しては、SNSのスパム系、悪質なメール、悪質な広告など踏まなければ問題がないであろう。これらはリテラシーの問題であり、長いパソコン歴を持つ私は事前に回避できるので問題がない。といえばかっこよい良い?が、実際さまざまな騙しで、これからもずっと続くので、対策をとっても、その対策に対して、また何か発生するであろうし、予想外の仕組みから攻撃されるであろうから、深く考えても意味がないと思う。
基本的にはSNSの変なリンクは踏まない(もしくは壁となるサイトを通してアクセスする)、つねに偽造メールを疑い、ログインを催促するメールには元の正しいURLからアクセスして確認をするという対策で十分であろう。何か怪しい・・という直感が重要である。サイトのURLを入れると、そのサイトが安全かどうかチェックしているWebサービスも多数ある。そういったもんのを使ってみるのも良い。
gred サイトの安全性をチェックできる
http://check.gred.jp
次にパスワード管理ソフトを検討した。さまざまなタイプが存在するが、主要のパスワード管理ソフトは、ソフトやクラウド上にさまざまなサイトのログイン情報を保存しておくタイプになる。
そしてそのソフトにアクセスする鍵となるパスワードを一つ用意すれば、その複数のサイト等パスワードは自動で入力されるようになり、実質一つのパスワード管理をすれば良いという仕組みになる。1Password
やLastPassが有名だ。Dropboxの記事が分かり易い。
有料 & 無料のパスワード管理ソフト 7 選と実力比較
https://navi.dropbox.jp/password-management-soft
しっかし私はサブスクリプションタイプにウンザリしている。今回パスワードをまとめて見て、サブスクリプソン課金がずいぶんと多いことに気が付いた。
Adobe
アマゾン
アマゾンミージック
ヤフーオークション
音楽素材サイト
Netflix
携帯電話
NURO
エバーノート
ドメイン
サーバ費用
Googleドライブ etc etc。
もっとあるかもしれない。サブスクリプションではなくそれなりに信頼できる、一回限りの購入タイプを探した。もちろん不便では困るので、クラウド上などにファイルが管理されていることなども考慮したい。
そこで見つけたのがSticky Passwordだ。約6000円で永久的に使える。海外のメーカーサイトで購入すると妙に高い。AmazonからDL販売タイプを購入した。無料で体験もできるので、まずは無料体験版を使ってみるのが良いだろう。日本語に対応している点もうれしい。
見た目が怪しいソフトだが200万人以上のユーザーが利用しているソフトだそうで、Kasperskyもこのテクノロジーを利用しているそうだ。14年ぐらい前からある会社なので信頼できるだろう。
Sticky Password
https://www.stickypassword.com
代理店が運営している日本サイトもある
https://www.stickypassword.jp
このソフトの欠点は、細かい操作がなんというかイマイチなことだ。自動入力もうまく行かないサイトもいくつかあった。アップデートを催促するもアップデートに失敗したり、そういった細かい点が及ばない。パーフェクトな操作感ではないことは留保したい。だが使えないこともない程度の不便さだ。
Sticky Passwordの使い方・機能・できること
インストール方法は使えばすぐに分かるので割愛する。パスワード管理ソフトの機能は、ソフトやクラウド上に、利用サイトやサービスごとにメールアドレス(もしくはID等)やパスワードを保存できる。保存した情報は基本的に自動入力に対応している。
Sticky Passwordの使い方はメーカのブログにも情報が多い
http://www.stickypassword.jp/blog
Sticky Passwordのパスワードを1つ設定すれば、他のサイトのパスワードを覚えておく必要がなく、かつ一度登録すれば自動で入力が可能になる。情報はクラウド上に保存されるので、Sticky Passwordをインストールしたスマートフォンや、異なるパソコンを利用した場合でも同様に利用できます。
100個のサイトとパスワードも1つのSticky Passwordのパスワードで管理できるようになる。もちろんSticky Passwordのパスワードが破られたら、もっとも最悪な結果になる。
個人を特定して狙われ、Sticky Passwordを利用していることを調べ上げられ、パスワードを抜き取られて、Sticky Passwordに不正ログインされない限り、そのようなことにはならない。普通の個人の情報をピンポイントで狙うようなことは起きない。
もし仮想通貨で10億円以上の資産があるかFBIかCIAや総理大臣か総理である人は、Sticky Passwordにパスワードをすべてまとめることは危険だ。もしあなたが自分は該当すると思ったら、ブログの記事など読んでいる場合ではなく、危機管理対策部でも立ち上げて対策をすればよいだろう。
Sticky Passwordの良いところと悪いところ
Sticky Passwordを2週間使ってみた。約60個のIDとパスを管理している。良いところと悪いところをまとめてみる。
○良いところ
・大量のサイトのパスワードを簡単に管理できてストレスが減った。
・個別のパスワードを覚える必要がないから、セキュリティの高い20文字以上のパスワードを設定できる。
・パスワードの生成は、とてもセキュリティの高い組み合わせを自動生成できる。例えばこんな感じのパスワードだ「1ICk3Bf&6lP2~rMN8eFG」。アルファベット小文字+大文字+数字+記号を組み合わせることで、20文字でも相当強力なパスワードになる。下記記事を参考になる。
暗号化のパスワードの妥当な長さはいくらか?
https://qiita.com/informationsea/items/eb9f1e2945b2bca31b32
・パスワードの自動入力はとても楽。
・ソフトのライセンスコードなどもメモとして保存できて楽。
・アプリが日本語に対応している。
以上で、6000円で永久に使えるなら安いソフトウェアだといえる。
○悪いところ
・当たり前だけれでも、自動入力が万能ではない(たぶん他のソフトでも同様だろうけど)。
・同じサイトへの異なるIDによるログインの場合、どのIDでログインするか選べるのだけれどイマイチ使い難い。
・ソフトウェアの設定やら自動処理のコントロールなど、悪くないのだけれでも、完全ではなく惜しい。
・新しいサービスにログインした場合に自動でSticky Passwordにパスワードが保存されるのだけれど完璧ではない。登録されないこともあったり、登録が間違ったりと。
という感じで機能的には問題がないんだけれど、なんかの使い心地が貧乏くさいというか6000円で永久ライセンスだからか、致命的な問題はないのだけれども、イマイチ2流のソフトウェアって感じがする。洗練されていないというべきか、そこまで真剣に取り組んでいない感じだ。