先日、家族が使っていたメインのメールアドレスが乗っ取られてしまい、ものすごいダメージを受けました。
そのアドレスに紐づけてあった情報が消えたのみならず、そのアドレスをログインIDにしていたサービスまで続々と乗っ取られ、とにかく被害を止めるための戦いが凄まじかったです。
この出来事をきっかけに原因を特定し対策となるよう、我が家のセキュリティポリシーを制定することにしました。
ちなみに専門家ではないいち素人の私が考えた内容ですので、あらかじめご了承いただきつつ、誰かの参考になれば幸いです。
もしいいアイディアとかあればどんどん改定できたらと思いますので教えて欲しいです!
下記にて家族の情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方をまとめてみました。
基本方針
このポリシーを徹底するとともに、自己防衛できる範囲で最大限防御する方法を各自で考える。
一番肝となる「メールアドレス」を乗っ取りの脅威から最大限守る。(ここを取られると各種サービスのパスワードリセットがしやすく、芋づる式に乗っ取られるリスクがあるため)
サービス側を起因とした流出は個人じゃ防ぎようがないが、もし流出しても被害を最低限に食い止めるために、ID/パスワードの使い回しをしない。
更新ルール
このポリシーは下記ルールに基づき、管理者が見直す。
- アドホック対応:脅威が判明した時
- 定期対応:毎年2/2「情報セキュリティの日」
乗っ取りイメージ
- メールのアカウント/パスワードがバレる(下記想定原因)
- 他サービス流出を起因とし、パスワードの使い回しでバレる。
- 桁数が少ないことで解析されてしまった。(8桁以下)
- 送受信フォルダを見て使っているサービスを判断(もしくは主要サービスを想定)し、各サービスのログインIDとして乗っ取ったアドレスを利用し、片っ端から各サービスのパスワードリセットをかける。
- パスワードリセットをしてリセット用のメールの返信を乗っ取ったアカウントで受信し、任意のパスワードに変更。
- 各種サービスも芋づる的に乗っ取る。
防ぐ方法
- メールアドレスのログインに関しては最大限セキュアにし死守する。(セキュアではない仕様のメールアドレスは作らない。)
- ログインIDのバリエーションを増やす。
- パスワードの使い回しをしない。
- パスワードを管理するソフトを使って、記憶に頼らない管理をする。
対策
ログイン用のメールアカウントを用意する
- 必ず複数のメールアドレスを作る
- 最低2ドメイン利用する
- 各ドメインでサブ垢用のエイリアスアカウント*を作成
*エイリアスアカウントとは:エイリアスとは「別名」のこと。エイリアスアカウントを作るとは、「元々持っているアドレスを軸に、新しいメールアドレスを複数作る」ことで各サービスで使い分けができるようになる。エイリアスアカウントが流出しても、元々のログインで使うメアドではないためリスク回避になる。私はデコイ(囮)アドレスと呼んでいる。元々のメールアドレスを「本丸メールアドレス」と以下呼称。
Gmailの場合
特徴:無制限に作れるが命名ルールが単純なので元のアドレスがバレバレ。あくまで管理用のイメージ。
iCloudの場合
特徴:3つまでしか作れないが完全に違う名前がつけられるので個人情報の保護という観点では効果が期待できる。
- 本丸メールアドレスを守る
- 堅牢性が高いドメインでのみメールアドレスとして利用可
- 2段階認証(秘密の質問など)ではなく二要素認証ができる。(ワンタイムパス、端末認証など)
- パスワードリセットが簡単に行われない仕様がある。(iCloudは「復旧キー」まで設定する)
- 本丸メールアドレスは基本使わないようにする。個人とのやり取りのみにするなど。
- エイリアスで迷惑メールが多発した場合は捨てることも考える。(そのためにも一つに偏らせない)
- パターン例:最低5種使う
- 本丸メールアドレス:2ドメイン
- エイリアスメールアドレス※ECサイトでも1つに偏らせない。
- A:決済が紐づくサイト(EC・金融など)のログイン用
- B:決済が紐づくサイト(EC・金融など)のログイン用
- C:ニュースサイトなど簡単なログイン用のもの
- 理想形:本丸メールアドレスは基本的に外部に見せない。思い切ってすごくわかりにくいアドレスにしてしまうとか。エイリアスの方を対外的にメインで使う。すでに利用してしまっている場合は置き換える、もしくは今後利用を拡大しない。(個人のやりとりに限るなど)
ログインID/パスワードのルール
全体ルール
上記パターン例を参考に、ログインIDはエイリアスメールアドレスにして使い分ける。
その上で、パスワードは下記のルールで設定する。
- パスワードの桁は、そのサービスが指定する最高桁数にする。(もし長すぎる場合や指定がない場合は20桁以上を目安に)
- パスワードには「アルファベット+数字」は必ず入れる。記号も可能なら入れる。
- 同じパスワードの使い回し禁止(ログインIDが別だったとしてもNG)
- 二要素認証ができるサービスの場合は必ずする
- 二段階認証ができるサービスの場合は必ずする
- オフライン管理のセキュリティコードを活用できる場合は必ず発行する。(iCloud,1Passwordなど)
- GoogleやFacebook、Yahooなど、他社のサービスのログイン情報を連携したAUTH認証の利用禁止(芋づる回避のため。個別サービスでID/Passを登録する。)
- 家族のログイン情報を統合的に管理(管理者を置き、相互でバックアップ取れるようにする)
個人情報レベル別
登録している情報に応じて、上記のルールの適用範囲を必須にする。もし見合わない場合はそのサービスを利用しない。
個人情報レベル |
登録内容 (いずれかを含む) |
必須対策 |
最高機密 |
|
|
機密 |
|
|
機密以外 |
|
|
管理方法
管理ツール
覚えられるパスワードは、桁が足りない、使い回しなどの温床となるため、基本はIDとパスワードは覚えないで全て違うものを使う、というのが基本姿勢。そのためパスワード管理ツールの利用は必須。
我が家は1Password(以下1Pass)の有料版のファミリーアカウントの利用を必須とする。
活用ルール
- 1Pass経由でパスワードを発行するもしくは、必ず1Passにパスワードを残す。その際、サイトURLもしっかり残す。(Watchtowerに監視してもらうため)
- ログイン時は手打ちではなく1Passに入力させる。
- 1Pass上で、リスクのあるサイトをWatchtowerで定期的に確認し、設定を見直す。
Appendix
認証要素と認証方法の違いについてわかりやすく紹介されています。
更新履歴
実際のセキュリティポリシーはクラウドのファイルにて家族共有で更新しているため、そちらをこまめに更新するスキームにしてます。(ここに書いてあるのは今日時点のスナップショットです。)
更新日 |
更新内容 |
更新者 |
2021/05/03 |
初稿作成 |
管理者 |