Webセキュリティの基礎 — パスワード管理・二段階認証・フィッシング対策
1. パスワードの安全な管理
2023年のNordPass調査によると、世界で最も使われているパスワードは「123456」で、解読に1秒もかかりません。安全なパスワードは16文字以上・英大小文字+数字+記号の組み合わせが推奨されます。
パスワードマネージャー(1Password、Bitwarden等)を使えば、強固なランダムパスワードを覚えることなく安全に管理できます。
2. 二段階認証(2FA)の重要性
二段階認証は「知っているもの(パスワード)」+「持っているもの(スマートフォン)」の2つの要素で認証する仕組みです。パスワードが漏洩しても、2FAが設定されていれば不正ログインを防げます。SMS認証よりもGoogle AuthenticatorやYubiKeyなどのハードウェアキーの方がセキュリティは強力です。
3. フィッシング詐欺の見分け方
- URLが正規のドメインか確認(例:amazon.co.jp vs amaz0n.co.jp)
- 「緊急」「アカウント停止」などの緊急性を煽る文言に注意
- リンク先をクリックする前にマウスオーバーでURLを確認
- 公式アプリやブックマークから直接アクセスする習慣をつける
⚠️ 注意:メールやSMSで届いたリンクは絶対にクリックしないでください。正規のサービスがメールでパスワードの入力を求めることはありません。ブラウザのアドレスバーから直接公式サイトにアクセスしてください。
Webセキュリティの脅威トップ10(OWASP基準)
OWASP(Open Web Application Security Project)は、Webアプリケーションの脆弱性トップ10を定期的に発表しています。以下は2024年時点の主要な脅威です。
フィッシング攻撃の見分け方
フィッシング攻撃は技術的な脆弱性ではなく、人間の心理を突く「ソーシャルエンジニアリング」の一種です。以下のチェックポイントで見破りましょう。
- 送信元アドレスを確認:「@amazon.co.jp」ではなく「@amazon-security-alert.com」のような偽ドメインに注意
- URLを確認:リンクにマウスを重ねて、実際のURLが正規のものか確認。短縮URLは特に注意
- 緊急性を煽る文面に注意:「24時間以内にアカウントが停止されます」のような文面は典型的なフィッシングの手口
- 個人情報の入力を求めるメール:正規のサービスがメールでパスワードやクレジットカード番号を求めることは絶対にありません
パスワードセキュリティのベストプラクティス
2024年時点でのパスワードセキュリティのベストプラクティスをまとめます。
- 16文字以上のランダムパスワードを使用する
- サイトごとに異なるパスワードを設定する(使い回し厳禁)
- パスワードマネージャー(1Password、Bitwarden等)を使う
- 二要素認証(2FA)を必ず有効にする。SMS認証よりTOTP(Google Authenticator等)を推奨
- パスキー(Passkey)に対応しているサービスは積極的に移行する
よくある質問(FAQ)
Q. 「https://」なら安全なサイトですか?
A. いいえ。HTTPSは「通信が暗号化されている」ことを意味するだけで、「そのサイトが安全である」ことは保証しません。フィッシングサイトもHTTPSを使用しています。URLのドメイン名(○○.com部分)が正しいかを必ず確認してください。
Q. データ漏洩に遭ったらどうすればいいですか?
A. ① 漏洩したサービスのパスワードを即座に変更 ② 同じパスワードを使っている他のサービスもすべて変更 ③ クレジットカード情報が含まれる場合はカード会社に連絡 ④ Have I Been Pwnedで自分のメールアドレスが漏洩リストに含まれていないか確認。
まとめ
Webセキュリティの基本は「強固で一意なパスワード」「二段階認証の有効化」「フィッシング詐欺の識別」の3つです。パスワードマネージャーと2FAの組み合わせで、ほとんどの攻撃を防ぐことができます。