IDとパスワードだけでは証明できないよ
友人がSNSでアカウントを乗っ取られた。
ちょくちょくある話なので、とりあえず被害が小さければいいなと思いつつ様子を見ていたら本人から連絡が来て
「何もできないんです・・・。」、と。
IDとパスワードを過信する無かれ
以前はIDとパスワードで本人確認できていましたが、今は、この2つに関しては「いつ、どこで漏れるか分からない」と思っておいた方がいい。
特に、メールアドレスがIDになっている場合、ハッキングされてIDとPWが引っこ抜かれたら、誰がどこからこの2つを使ってSNSにアプローチしてくるかわかりません。
おそらく、乗っ取られているアカウントの多くはこうしたIDとPWの使いまわしが偶然ヒットしたか、もしくはPWへの総当たり攻撃でヒットしたんじゃないかと思います。
プロバイダメールとキャリアメールは使わない
プロバイダ → @ocn,@so-net,@biglobe,などなど契約しているプロバイダ
キャリアメール → @docomo.ne.jp,@ezweb.ne.jp,@softbank.jpなど
こうしたメールアドレスをログインIDや契約者確認用のメールアドレスに使っていると、転居や携帯のMNP等で切り替えた時にメールアドレスは使えなくなることも少なくない。このアドレスを使っているサービスを把握していて、変更時に切り替えたらいいのですが、このアドレスを使っている人ほどログイン先を自分で把握していない場合が多く、失ってから大騒ぎすることが少なくありません。
僕はGoogleアカウントかAppleのicloud、もしくは独自ドメインなど、自分自身がずっと変更することのないメールアドレスをIDに使うことをオススメしています。
2段階認証などの設定がある場合は、必ず設定
IDとパスワードを入力すると、SMSで認証コードが届いたり、もしくは認証アプリに表示されている番号を入力する二段階認証を設定できるところも増えてきました。
左がMicrosoft,右がGoogleの認証アプリ
僕が実際に認証アプリに設定しているサービスの一部。この6桁コードをログイン画面で入力することでログインができます。
こうした二段階認証も時代に合わせて変化していますし、他人に盗まれたら影響が大きいサービスは必ず設定しておく必要があります。
もし、乗っ取られたら取り戻せるか?
さて、最初に話した乗っ取られたアカウントを取り戻せるかどうか。
設定していたIDがプロバイダメールで以前使っていたものだったため、メールでの認証ができない。携帯電話番号は残っているものの認証コードを送付しすぎた為に、すでにうまく再設定できない状態に・・・。
簡単には取り戻せない状況になっていました。また、ログインパスワードはすでに変更されてしまっているので、SNSでも乗っ取られた旨を伝えて、その復活手順に沿って動くしかない状況です。
https://www.facebook.com/hacked
facebook であれば、上のサイトへ行って、乗っ取られたアカウントを入力し手順にそって復活の呪文を唱えていくしかありません。
自分をネット上で証明するために必要なことは?
こうして乗っ取りからの復旧手順などを確認してみても、やはり、基本的なことができているかがとても重要です。
・メールアドレスをいま使っている最新のものを登録する
・パスワードは可能な限り使い回さない
(文字と組み合わせて数字部分だけを変更するだけでも効果あり)
・GAFAやSNSの多くは2段階認証が用意されているので必ず設定する
※GAFA(=Google,Apple,Facebook,Amazon)
繰り返しますが、今はIDとパスワードだけで自分を証明する事ができない時代です。ちゃんとログイン情報のメンテナンスと2段階認証の設定はやっておきましょう。
失ってからの本人証明はとんでもない手間がかかるし、取り戻せないこともあります。