【乗っ取り対策】LINEアカウントを乗っ取られたのでその後の対策考えた
この夏、流行のLINEアカウント乗っ取りをやられました。
折しも『LINEスタンプ つくり方&売り方』の編集真っ最中w スクリーンショット用の画面撮るのに、LINEがしばらく使えず(数日から1週間以内に復活)大変でした。 無事本は売れてよかったです。
以下はとりあえず記念にはっておきます。
その後、IDは復帰してますが、セキュリティに詳しいライターさんの記事など読んでLINEアカウントをどうするか対策を考えてみました。ID乗っ取りに関する対策でポイントと思ったのは以下。
1)パスワードを絶対に使い回さない
2)パスワードを難しくて長いものにする
3)PINコードは絶対に生年月日にしてはいけない
4)そもそもメールアドレスIDというのがセキュリティホール(=人に公開されている、形式が推測しやすい)
5)パソコンからアクセスさせない
1)パスワードを絶対に使い回さない
周知のとおり、ほかのサイトからもれたパスワードが流れ流れて重要なサービスでのクラックに使われてしまうから。これメールアドレスとセットになっているところがさらに深刻。たとえばアドビのパスワードID漏洩問題はいまだにアチコチのサイトで問題のようです。
同じメールアドレスで登録されているサイトの場合は、一定数のユーザーがパスワードも同じだからVimeoやEvernoteなんかは「あなたアドビさんと同じアドレスつかってらっさるよね」「パスワード変えないとうちのサービス使っちゃあかんよ」と言ってきます。
とにかくパスワードはユニークにする。いもづる式にならないようにです。信用できないサービスほどユニークにしたほうがいいくらいか。
2)パスワードを難しくて長いものにする
パスワードを度々変えること自体よりは、長くて推測されずらいものにするほうがいいそうです。難は覚えられないこと。覚えやすさとクラックは正比例するとしかいえない。クラックされてもいいものは、すべて失ってもいいと思えるサービスだけ(IDにつかっているメールアドレスも盗まれるけど)。
補足:難しいというのは難しい単語とかではありません。ランダム文字列など推測不可能なもの。辞書データを用いて解析するので英文単語はまず避けたいところです。
「LINEのセキュリティが甘いんだったら、一番重要なのは、LINEには本当の友達や、クラックされたら困る友達は登録しないw」というのがあって、うなります。おそらく、同じようにツイッターやFacebookで本当の、、という人はいるよね。
3)PINコードは絶対に生年月日にしてはいけない
生年月日の組み合わせは365回ためせばクラックできる。10回間違えると一定時間ログインできなくても、36.5回ためせばよい。24時間ログインできなくても5週間で必ずクラックされるから。自分の生年月日とかおばあちゃんの生年月日とか関係なくダメ。
4)そもそもメールアドレスIDというのがセキュリティホール(=人に公開されている、形式が推測しやすい)
メールアドレスが公開されていたり、それこそほかの(漏洩した)サイトで使われていたものだったりすれば、クラックされる危険性が高まります。IDパスワードロックのうち、一方の鍵が最初から解けているから。
メールアドレスも推測されずらいほうがいいかもしれないけれど、推測されずらいアドレスを管理するコストもまた面倒ですな。ただこれは一理ありますよね。yahoo.co.jpとかmac.comであるだけでメールアドレスの半分は推測されてますし。ハンドル使い回してるのも同様に危険ってことになる。
たとえば、Yahoo!のログインがIDから変更したものにできるシークレットIDは、個人的にいいんじゃないかとおもってます。
http://id.yahoo.co.jp/security/
5)パソコンからアクセスさせない
パソコンのサービスの場合はこれは難しいけれど、LINEの場合はメールアドレスを登録しないことでパソコンからのログインができなくなるので、悪い人がクラックしづらくなります。これが一番役立つと思う。スタンプや過去履歴がバックアップできなくなるのですが、機種変更のときに一時的にメールアドレス登録をするなど、日々のデータバックアップに関してはあきらめるということになります。
わたしは、とりあえず、固有のパスワードに変えて、メアド登録を削除、ID検索も削除にして再稼働してます。
そんな涙ぐましい思い出のある本はこちら