2段階 認証なしは マジ危険 ~身近で起きたクレジットカード不正利用の恐怖~

      2017/02/19

それは、ある日突然に・・・

ある日、Twitterのタイムラインを眺めていたら、知人が恐ろしいことを呟いていた。
クレジットカードを不正利用された、と。
その不正請求については、カード会社が水際で止めたけれど、
不正請求があったのはオンライン系ゲームの利用代金か何かだったらしい。

どこから漏れたんやろ?怖い話やな・・・と、知人に問いかけると、
さらに恐ろしい話が返ってきた。

抜かれたカード情報、カード番号、名義だけではなく、
クレジットカードの裏面にある3Dセキュアコードまで。

ご存知の方も多いと思うけれど、3Dセキュアコードというのは、
クレジットカードの裏面に印字されている3桁の数字。
クレジットカードでのオンライン決済をより安全にするために導入された本人認証サービス。

なんでそんなもんまで抜かれたんやろ?という私の疑問への、被害にあった知人の答えは、
その時点では「セキュリティソフトの更新忘れ」。

ところが!

クレジットカード情報が漏れた理由、知人の推定とは違っていた。

それだけではなく、被害はそのクレジットカードだけではすまなかったのであった。

判明したクレジットカードの情報漏洩源は?!

さて、そんなやり取りの翌日。

クレジットカードを不正利用された知人から、この件での追加連絡が。

「情報抜かれた原因、判明しました」

「他のカードも不正利用されていました」

「情報漏洩源は・・・私のEvernoteでした」

な、なんですと~~~~!!!!

Evernoteがハッキングされ、そこに記録していたクレジットカードの情報、
ごっそり抜かれてしまったとのこと。
しかも被害はそれだけではなく、同様に記録していた、
インターネットバンクの情報も抜かれ、被害にあっていた。

Evernoteのアクセス記録から、どこの国からやられたかも突き止めた知人。

被害拡大を防ぐため、Evernoteに記録していたクレジットカードの利用をすべて止め、
インターネットバンクのパスワード変更、2段階認証の設定、
Evernoteのパスワード変更、2段階認証の設定と、結構な時間を取られながら、
できうる限りのセキュリティ対策をした。

被害額は15万ほど。
その程度で済んでよかった・・・。

被害程度は低かったけれど、私自身にもハッキング被害を受けた経験が。

私自身のハッキング被害経験

以前、Facebookをハッキングされたことがある。
アカウント作ってほったらかしにしていたわけではないけれど、
ブルートフォースアタックを仕掛けられ、パスワードを特定されてしまい、
ハッキングされてしまった。

インターフェースを英語に変更され、名前もプロフィール写真も勝手に変えられてしまった。
幸い、被害はその程度で済んだけれど。

この時は、普段、日本国内からしかログインアクセスしないアカウントが、
アメリカ国内からログインしたのを不審に思ったFacebook社が、アカウントをロック。
そのため、私自身までも締め出されてしまった。
アカウント復旧のために「早く対処しなさい」とFacebook社から連絡を受け、
2段階認証を設定し、以来、ハッキング被害にはあっていない。

このハッキング被害で、利用しているインターネットサービスは、
2段階認証設定できるものは設定しておいたから。

2段階認証とは?

2段階認証は何か、ということをものすごく大雑把に説明すると、
ログインの際、ログインIDとパスワードだけではなく、確認コード入力が必要になるので、
IDとパスワードだけでログインするよりもセキュリティレベルは高くなる。

確認コードは、2段階認証を設定したサービス提供会社から、
登録したスマホやメールアドレスに送信されてくる。

また、2段階認証をオンにしておくと、日ごろそのサービスにログインする端末も登録できる。
万一、IDとパスワードが漏洩したとしても、登録外のデバイスからアクセスしようとした場合には、
2段階認証を設定したサービス者の提供する確認コードの入力を要求されるので、
ハッキングに手間がかかるようになる。
確認コードは、一定時間で変わるから、特定するのには手間がかかるはず。

つまり、2段階認証設定のメリットは、ハッキング被害を受ける可能性を軽減できること。

これさえやっておけば、不正アクセスを完全に防御できるものではないけれど、
セキュリティ対策はやってやりすぎることはない。

メリットはハッキング被害の軽減、ではデメリットは・・・?

じゃあ、2段階認証にデメリットはないのか、と気になるところ。

デメリット、というか・・・。

設定がめんどくさい、といえばめんどくさい。

万一、スマホを無くしたりした場合など、確認コードを受信できない状態に置かれたら、
サービス提供者から2段階認証設定したときに送られてくる、
16桁の数字などのバックアップコードを入力しなければならない。
バックアップコードは、サービス提供者によって英数字の組み合わせだったり、いろいろ。

バックアップコードは設定したときにしか見ることができないから、必ず
その時に印刷するなり、Wordとかメモ帳にコピペしてローカルかUSBに保存しておくかしておくこと。

バックアップコードを紛失すると、アカウントの復旧ができなくなってしまうから。
これ、非常に重要。

デメリット・・・になるのかどうかは利用者の考え方次第だけれど、
設定のめんどくささとバックアップコードの保管に気を遣うことがデメリットといえばそう言えるかも。

めんどくさくても、2段階認証は設定すべし!

知人がクレジットカードを停止し、インターネットバンクのIDとパスワードを変更し、
Evernoteに2段階認証設定し・・・と、ひとたびハッキング被害が発生すると、
その被害を最小限に抑えるための労力や、再発防止への手間暇、そして金銭的被害。

失うものが大きくなる。

だから、めんどくさい、と決して思わず、
Google、Apple、Micrsoft、Evernotes、Dropboxなどなど。

2段階認証設定できるものは、必ず設定しよう!

2段階 認証なしは マジ危険!ですぞ!

 - ネットに潜む危険