先日、TechCrunchのライターのJohn Biggsさんが、スマートフォンの電話番号を盗まれるという事件が起きました。

ハッカーは、Biggsさんが契約していたT-MobileのSIMカードのアカウントを乗っ取り、本人確認に使っていた電話番号を奪い取ったのです。BiggsさんはSMSベースの2要素認証を適切に利用していたのですが、携帯電話のアカウントにセキュリティの層をもう1つ加えることを忘れていたとのこと。ハッカーは、BiggsさんのアカウントからBiggsさんを締め出し、Biggsさんの友人たちからビットコインを詐取しようとしました。

最終的に、Biggsさんはアカウントと電話番号を取り戻せたそうですが、「パスワードをリセットされる」という悪夢のようなこの事件を教訓として、私たちが同じような事件に巻き込まれないようにするにはどうすればいいのか?を、考えてみましょう。

携帯電話会社のアカウントにPINコードを設定する

携帯電話のアカウントを乗っ取られないようにする最も簡単な方法は、セキュリティPINコード(またはパスコード)を設定することです。携帯電話会社に電話をかけ、PINコード保護を有効にする(無料)ように依頼するか、オンラインで自分のアカウントにログインして、セキュリティ設定画面を開いてください。

これは、スマートフォンのロック解除に使用するPINコードとは別のもので、携帯電話会社とやりとりするときに伝えなければならないPINコードとなります。カスタマーサポートに電話して、自分のアカウントに何らかの変更を加えるときは、このPINコードを必ず伝える必要があります。PINコードを登録するには、携帯電話会社に電話をかけるか、本人確認書類を持って携帯電話会社のショップに出向いてください。

PINコードを忘れてしまった場合も、電話やオンラインでPINコードをリセットは可能です。また、大手キャリアであればどこでも、本人確認書類を持ってショップに出向けば、PINコードを変更できます。くれぐれもPINコードには、「1234」などの単純過ぎる番号や自分の誕生日にちなんだ番号を使わないようにしましょう。ハッカーはあなたのソーシャルメディアのプロフィールを隅々までチェックして、PINコードを推測できる情報を探します。

より安全な2要素認証サービスを使う

SMSベースの認証は、ランダムな確認コードをあなた宛にテキストメッセージで送ることで、本人確認を行います。デジタルライフを安全なものにするスタートとしては悪くありませんが、セキュリティホールを回避したいなら、ワンランク上の認証を使いましょう。基本的に、SMSベースの認証を使うのは、ほかの2要素認証が利用できない場合のみにしてください。

SMSの確認コードを受け取れるのは、あなたのスマートフォンだけではないことに注意しましょう。タブレットやパソコンなど、複数のデバイス間でメッセージを同期しているのであれば、なおさら注意が必要です。また、確認コードの送信先に、Google VoiceやSkypeなどのオンラインメッセージサービスも指定できます。当然ながら、そうしたサービスには、あなたのスマートフォン以外からもアクセスが可能です。また、Briggsさんの事件のように手順に不備があれば、携帯電話会社からあなたのSIMカードが間違った相手へ送られることもあり得ます。

AuthyやGoogle認証システムなどの2要素認証アプリケーションを使うほうが、安全性はずっと高くなります。この方式はメールやテキストメッセージを使わないので、ハッカーが侵入する入り口を減らせるのです。ただし、スマートフォンに送られる番号を入力するのに比べると、セットアップに少し手間がかかるのと、一時的に生成されるランダムな確認コードを表示するための認証デバイス(スマートフォンやタブレット)が手元に必要となります。

パスワード管理ツールを使う

セキュリティの層を増やしたからといって、新たに設定したPINコードやパスワードをすべて記憶する必要があるわけではありません。新しいPINコードやパスワードを設定したら、パスワード管理ツールに保存しておきましょう。ほかにも、バックアップコード、カスタマーサポート番号、キャリア専用のメールアドレスなども保存しておけば、ハッカーに情報を盗まれるリスクをかなり減らせます。

バックアップコードを保管する

Google認証システムなどの2要素認証アプリを使うときは、スマートフォンの盗難や紛失に備えて、バックアップコードを準備するようにしましょう。Googleは、バックアップコードを印刷して安全な場所に保管することを勧めています。封筒に入れて家のどこかに隠してもいいですし、パスワード管理ツールに保存してもかまいません。

いずれにせよ、1つのセキュリティが破られても、もう1つのセキュリティがあるようにしておくことが、悪意のある人物からあなたとあなたの個人情報を守るための一番良い方法だと言えます。

Image: dencg/Shutterstock.com

Source: TechCrunch

Patrick Lucas Austin - Lifehacker US[原文]