6月6日、楽天銀行は「遠隔操作ソフトウェア ご利用のお客さまへ」というタイトルで、遠隔操作ソフトウェアを利用しているユーザーに対して警告文を出した。 遠隔操作ソフトウェアとは、外出先から自宅のPCに接続して操作するためのもので、別に怪しくもなんともない。筆者もこれについて多数の記事を執筆している。その多くは、IDとパスワードで本人を識別するのだが、ここを突破されて不正アクセスされてしまったのだ。そうなったら、もうほとんど本人と同じ操作が可能。ネットショップで買い物しまくったり、ネットバンクから送金したりできる。ブラウザにパスワードが入っていれば手間がかからないし、そうでなくても操作画面をのぞき見されたり、キーロガーを入れられたらどうしようもない。 代表的な遠隔操作ソフトウェアの例として、「TeamViewer」「LogMeIn」「PocketCloud」「CrazyRemote」等が挙げられているが、これらにはまったく落ち度はない。本連載で数えきれないくらい言及しているが、IDやパスワードを使い回したり、わかりやすいものにしたり、定期的に変更していないために不正アクセスされるのだ。あちこちの大手サービスが大規模な情報漏えいを起こしているので、普通にネットを使っている人であれば、メアドとそのパスワードは漏えいしていると考えていい。そのため、パスワードのきちんとした運用が重要になる。耳にタコができるかもしれないが、すべてのサービスでパスワードは変えることを肝に銘じてほしい。 定番遠隔操作ソフトウェアの「TeamViewer」も対策に乗り出した。まずは、2段階認証の導入。TeamViewerを利用する際にIDとパスワードに加え、メール認証も求められる。2段階認証については「第46回 LINEなりすましの被害続出! SNS乗っ取りの対抗策」も参考にしてほしい。メールが読めないと不正アクセスできないので、これだけで大きなハードルになる。 また、不正アクセスの可能性があると判断すると、パスワードをリセットする仕組みも導入された。新しい場所で新しい端末からアクセスしたりすると、メールで強制的にパスワードの変更を促されるのだ。利便性は落ちるが、遠隔操作という大事な権限を保護するものなので仕方がない。 遠隔操作ソフトウェアを利用している人は、すぐにパスワードの変更を行おう。また、できるだけそのPCではネットバンクなどに接続しないようにしたい。あまり使っていないなら、アンインストールすることもオススメする。 現金の被害が発生しても被害者だからなんとかなる、と思わないこと。多くのケースで泣き寝入りするしかないので、自分のアカウントは自分で守ること。パスワードの運用法だけで、ずいぶん違うのだから、やらない手はないぞ。 (文=柳谷智宣)「TeamViewer」による声明
↧
遠隔操作ソフト乗っ取りで不正ログイン事例多発! パスワードはサービスごとに変更を
↧