7payが不正利用によりサービス提供からたった3ヶ月でサービス終了するというニュースが話題になっていますが、『責任はすべて7payで、不正利用された人は何も対策を取ることはできなかった』とは言えないはずです。

また今回はセブン&アイ・ホールディングスのサービスだったので不正利用された分は払い戻しなどの保証がされるということでしたが、他電子マネー系のサービス等が全てこのような対応をしてくれるとは限りません。

そして今回の不正アクセスの原因は、あらかじめ入手したIDとパスワードを用いて不正アクセスをする「リスト型攻撃」の可能性が高いというネット記事があります。

ニュースにならないだけで、様々なインターネット上のサービスでこの攻撃を受ける可能性は十分に有り得ます。自分が万が一不正ログインされ、重要個人情報漏洩やクレジットカードの不正利用、ネットバンキングでの不正振込などが行われてしまって泣き寝入り、なんてことにならないようにこれを機に自分の利用しているサービスに関して、防止策を講じることにしてみました。

・パスワードリスト攻撃（リスト型攻撃）とは？

そもそも今回7payで話題になったリスト型攻撃というのはどのようなものなのでしょうか。

「パスワードリスト攻撃」について
パスワードリスト攻撃とは、攻撃者がどこかで入手したID・パスワードのリストを用いて、正規ルートからの不正アクセスを試みるサイバー攻撃です。ネットユーザーの大半が複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法で、攻撃者は実行のために必要なパスワードリストを、ターゲットよりもセキュリティの脆弱なサイトから入手してきます。他のサイトでも同じID・パスワードの組み合わせを利用している人が、被害に遭いやすい攻撃手法です。
引用：https://cybersecurity-jp.com/security-measures/18665

この攻撃は、パスワードをランダムに入れてどれか当たるだろうという総当たり的な攻撃ではなく、悪意ある第三者が入手した、どこかしらで利用されているIDやパスワードを利用されるため、複数のサイトやサービスで同じID、パスワードを使いまわしている場合は圧倒的に被害を受けやすい攻撃です！

つまり、いま話題になっている「パスワードリスト攻撃」に対しては、システムベンダー側ができる対策は少なく、サービス利用者側の対策が重要だと思いませんか？
ということで私が今できる対策を実践してみました！

・対策その１：パスワード管理ソフトの導入

上記でも記載があったように、リスト攻撃はどこからか入手されたID/PWを他サービスでも試されることで不正ログインに繋がるため、まずは同じパスワードを使いまわししないことが重要です。

とはいえインターネットでなんでもできるこのご時世、利用しているサービスごとにパスワードを変えるなんて、一体何個パスワードを覚えればいいのか・・全て暗記するなんて無理です！しかも、簡単なパスワードにしておくとリスト型攻撃ではなく総当たり型の攻撃でヒットしてしまう可能性もあるので、安易に簡単なものばかりを登録するわけにもいきません。

紙にメモしておくという方法も悪くないかと思ったのですが、予測されにくいランダムな英数字の羅列をいちいちログインのたびに打ち込むのって結構ストレスなんじゃないか、もしパスワード更新したときに書き直すのを忘れたらログインできなくなってしまうなと思ったので、私はパスワード管理ができる「Keeper」というサービスに登録しました。

パスワード管理ソフトはいくつかありますが、今回は以下ポイントでこのサービスに登録を決めました。
・マルチデバイス対応（PC、スマホアプリの情報が同期される）
・日本語対応
・できるだけシンプルで使いやすい
・できれば無料
※ネット記事をみる限りは無料で使い続けられそうですが、有効期限が1ヶ月後にでているので、もしかしたら強制的にアップグレードが必要になるかもしれません…（その場合は個人利用で3600円/年）

他にもパスワード管理ソフトはたくさんあるので、もしこれが有料でないと使えない、となったら他も試してみるかもしれません（笑）
比較しているサイトなどもあるので参考にしてみてください。

会社では「Keeper」ではなく「1Password」というサービスを利用していますが、使ってみた感じ、Keeperの方がシンプルでわかりやすい気がします。あと、IDPWを登録する際に、ログインページのURLを記載しておくことで、Keeperの画面から直接利用したいサイトにアクセス＋ログインができるのが便利だなと思いました。

現状はまだこれまで管理していたパスワードをKeeperに保存した状態に止まっていますが、これから少しずつパスワードの更新（Keeperでランダムにパスワードを作成することができるのでこれを利用）もしていこうと思います。

・対策その２：二段階認証の設定

パスワードの使いまわしをしていて万が一正しいパスワードでログインを試みられたとしても、この「二段階認証」の設定ができるサービスであれば不正利用を防ぐことが可能です。

よくあるのは、ログイン直後に登録電話番号あてのSNSか、登録メールアドレス宛てに6桁くらいの数字が送られてきて、そのコードを入力しないとサイトが利用できない、というタイプのものかと思います。他にも認証アプリを利用する方法なども有ります。2段階認証を設定することにより、自分が所持しているスマートフォン・携帯電話にひもづいた情報がログインに必要となるため、第三者がメールアドレスやパスワードを入手していたとしても、不正にログインすることができなくなり、安全性が高まります。

この設定は、利用しているサービス側が二段階認証設定に対応していないと利用ができませんが、多くのメジャーなサービスではだいたい設定が可能なようです。
AmazonなどのECサイトや、Facebook、TwitterなどのSNS系などは私も設定をしました。

Chatworkも二段階認証対応しているので、未設定の方はぜひ利用してください！（実は数週間前から不定期にリスト型攻撃を受けています・・）

万が一の自体に備えての対策なので、どうしても日々のなかで優先順位が下がってしまいがちなことではありますが、いざというときに後悔しないために自分でできる対策はぜひやっておきましょう！