最近では、パスワードやログイン認証情報が公開データ漏洩で発見された場合、そのことに気づく可能性が高くなります。Apple、Google、パスワードマネージャー、ウェブブラウザなどは、保存している情報が漏洩で発見された場合、警告を発します。では、次に問題となるのは、どうすればいいのかということです。
状況はそれぞれ異なりますが、アカウントを不正な侵入者から安全に保護するために、必ず実行したい基本的な手順がいくつかあります。迅速に行動すれば、ログインパスワードが漏洩した場合の影響を最小限に抑えられる可能性が高くなります。
パスワードを変更する
パスワードが漏洩してしまった場合、誰かに悪用される前に変更したいのは当然のことです。これは最初のステップであり、あまり時間をかけすぎないようにしてください。影響を受けるアカウントが何であれ、アプリやウェブサイトでパスワードを変更できる画面を見つけるのはそれほど難しくないでしょう。
パスワード設定のルールを覚えておきましょう。パスワードは他人が推測できないだけでなく、自分自身も忘れられないものでなければなりません。後者のルールは、長くて複雑なパスワードを自動で管理してくれるパスワードマネージャーの時代ではそれほど重要ではありません。
パスワードマネージャーやウェブブラウザを使ってログイン情報をすべて管理し、それらから強力なパスワードの候補を得られるなら、それは問題ないでしょう。これらのツールが生成する文字、数字、特殊文字の文字列は、通常、自分で考え出せるものよりもはるかに解読が困難です。
いつもお伝えしているように、2要素認証(2FA)が利用可能な場合は(通常は利用可能です)、オンにしてください。2FAとは、アカウントにログインする際に、ユーザー名とパスワードに加えて、携帯電話で生成されたコードが必要になることを意味します。2FAを有効にすると、パスワードが漏洩した場合でも、別の認証方法が必要となるため、アカウントを安全に保つことができます。
すべてのデバイスからログアウトする
パスワードを変更したら、アカウントに接続されているすべてのデバイスからログアウトしてください。パスワードを変更する前に誰かがあなたのアカウントにアクセスしていた場合、一定期間ログインしたままになる可能性があります。アプリやサイトは、パスワードを変更しても必ずしも自動的にユーザーをログアウトするとは限りません。
携帯電話、ウェブブラウザなど、あらゆるデバイスは、利便性のためにアカウントにログインしたままになっていることがよくあります。これは、SnapchatやRedditを起動するたびにパスワードを入力する手間を省くためです。しかし、この方法は多くの場合、はるかに簡単になる一方で、なりすまし犯が通常よりも長くアカウントに潜伏できることを意味します。
一括ログアウトの方法は、不正アクセスされたアプリやサイトによって異なりますが、ほとんどのデジタルアカウントでは、すべてのデバイスから簡単にログアウトできます。Netflixを例に挙げると、ウェブ上のアカウントページにアクセスし、「すべてのデバイスからログアウト」を選択します。ログアウトを確定すると、Netflixがインストールされているすべてのデバイスで新規ログインが必要になります。
別の例として、Googleアカウントが不正アクセスされた場合、ウェブ上のGoogleアカウントのセキュリティセクションに移動し、「すべてのデバイスを管理」を選択すると、Googleアカウントにリンクされているすべてのスマートフォン、ノートパソコン、タブレット、その他のハードウェアが表示されます。リスト内のいずれかの項目をクリックし、「ログアウト」を選択すると、そのデバイスが強制的に再接続され、パスワード認証プロセスが再度実行されます。
サードパーティ製アプリを確認する
必ずしも気付いているとは限りませんが、最も頻繁に使用するデジタル アカウントは、さまざまなサードパーティ製のアプリやサービスに接続されている可能性があります。Outlook アカウントにアクセスできる職場のデスクトップ メール クライアントや、Instagram の写真や動画にアクセスする許可を与えているサードパーティ製のコラージュ メーカーなどを考えてみてください。
デジタルアカウントの1つが不正アクセスされると、サードパーティ製アプリが接続したままになることがあります。パスワードを変更し、すべてのデバイスからログアウトした後でも、接続が切れない場合があります。悪意のある人物は、これらのユーティリティを介して接続し、ユーザーが気づかないうちにアカウントへの侵入経路を確保している場合があります。
これらのアプリは簡単に接続を解除できますが、アプリやサイトによって方法は異なります。Twitterで情報漏洩が発生した場合は、ウェブ上の「接続済みアプリ」ページにアクセスして、Twitterアカウントにアクセスできるすべてのアプリを確認できます。リスト内の任意のアプリをクリックし、「アプリの権限を取り消す」を選択して、アプリの権限を解除してください。
Facebookアカウントにアプリが1つ、あるいは複数接続されている可能性があります。ウェブ版Facebookの「アプリとウェブサイト」ページで、状況をご確認ください。「削除」をクリックすると、特定のアプリまたはサービスがFacebookアカウントから切断されます。また、「表示と編集」を選択すると、接続された特定のアプリがアクセスできるデータと権限を確認できます。
次回に備える
災難を回避し、アカウントは再び安全になりましたが、パスワードやログイン情報など、さらに多くのデータがいつオンラインに流出するかは分かりません。これはかなり頻繁に発生する傾向があり、多くの企業やサービスに個人データを預けている場合、できることは限られています。
これまでにご紹介した対策の多くは、次回のデータ侵害に備えるためのものです。例えば、推測や総当たり攻撃が不可能な複雑なパスワードを選択すること、利用可能な場合は二要素認証を有効にすることなどです。まだパスワードマネージャーを活用していない方は、導入を検討する時期かもしれません。
先ほども述べたように、ほとんどのパスワードマネージャーは、あなたの認証情報が漏洩した場合に警告を発します。しかし、他にも早期警告を発するサービスがあります。例えば、Firefox Monitorは、あなたの情報が漏洩していないか確認するだけでなく、将来のデータ侵害にも目を光らせてくれます。
それ以外にも、よく知られているガイドラインに従うことをお勧めします。複数のサイトやサービスでパスワードを重複して使用しないようにし、家族や友人とのパスワードやアカウントの共有を最小限に抑え、アクティブに使用しなくなったアカウントを閉鎖します (アクティブなアカウントが少ないほど、アカウントにアクセスしようとするハッカーに与える標的領域が少なくなります)。
