半径300メートルのIT：「二段階認証を入れたから、オレのデータは安全」と思っているユーザーに伝えたいこと (3/3)

　これを防ぐためにできることとして、「SIMにPINを設定する」方法があります。SIMには暗証番号を設定することが可能で、4桁の数字を設定することで、SIMを入れ替えたときにそのPINを入力できなければ利用できないという設定が可能です。PIN入力に3回失敗すると、しっかりロックがかかります。

　SIMに初期設定されたPINは、それぞれドコモが「0000」、auが「1234」、ソフトバンクが「9999」ですので、これを自分の覚えやすいものに変更しておきましょう。SIMにPINを設定することは、盗難防止の意味でも重要です。この夏海外に旅行するという人は、あらかじめ設定しておくべきでしょう。

二段階認証の「ニセ通知」にだまされないヒント

　二段階認証を利用すれば、不正ログインに対してはかなり強い状態になると考えていいと思います。そして、別の利点（？）としては、世間で行われている不正ログインの状況を肌感覚で知ることができるという点も大きいかもしれません。冒頭にお伝えしたNTTドコモの事例にも、「身に覚えのないdアカウントのセキュリティコード通知」に注意せよとあります。これはつまり、自分で明確にログインしたというときに届く通知以外は、まさに攻撃が行われたタイミングであると考えて良いわけです。ただし、NTTドコモのdアカウントの場合、パスワードの入力前、ユーザー名を入力したタイミングで通知が飛ぶので、他のサービスよりも頻度が高いと考えられます。

　よく似たWebページに誘導するフィッシング攻撃の場合、もはや普通の人には見分けがつかないため、気を付けようがないという現状があります。しかし二段階認証の通知は、自分がログインを行った直後にしか届かないもののはず。それを、攻撃が行われているかどうか判断するきっかけにできるという点は、覚えておいたほうがいいでしょう。そして重要なことは、「いついかなる場合であっても、二段階認証コードを他人に教えてはいけない。対象のサイト以外に入力してはならない」という点です。

　恐らく、私たちユーザーの間で二段階認証の知名度が上がっていることは、サイバー犯罪者のにとっては悲報かもしれません。しかし、二段階認証への根本的な理解が進まなければ、その裏をかく新たな攻撃が生み出されるでしょう。

　その手口は、恐らく「脆弱性を突く」「マルウェアを送り込む」といったものではなく、会話などを活用し、人の心理に付け込む「ソーシャルエンジニアリング」と呼ばれる手法を使ったものではないかと想像します。そんな攻撃に遭わないためには、私たちが二段階認証の仕組みをもう一歩踏み込んで理解し、この手法の弱点を人の知識で埋めなければなりません。この点で、私たちは一丸となる必要があるでしょう。まずは、あなたのお金に直接つながるようなアカウントから、二段階認証設定をしっかりやっていきましょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。