身に覚えのないログイン履歴見つけたらすべきことは？

2020.04.30 岡山大

先日、友人のメールアカウントに身に覚えのないスウェーデンからのログイン履歴がありました。
友人は、スウェーデンに行ったこともないのですが、なぜか、スウェーデンからログインをしたことになっていたのです。

すぐにパスワードを変更したので、その後は、不審なログイン履歴は出ていないそうですが、身に覚えのないログイン履歴を見つけた場合、まず何をすべきでしょうか。

今回は、身に覚えのないログイン履歴を見つけた場合の対応方法を3つにまとめました。

情報セキュリティインシデントとは？事例や対策、被害発生時の対応フローを解説

1. パスワードを変更する

まずは、身に覚えのないログイン履歴を発見したら、パスワードを変更しましょう。

不審なログインをした人に、パスワードが漏れている可能性が十分にあります。

新しいパスワードは、以前と似たようなものを避けて、推測されにくいものに変更します。
誕生日や自分の名前、123456、passwordは絶対にだめです。

米セキュリティ会社のSplashDataが2019年の危険なパスワードを発表しています。
https://www.teamsid.com/1-50-worst-passwords-2019/

2. 連携しているサービスがあれば、連携を解除する

お財布サービスやオークションサイトなど、連携しているサービスはありませんか？
勝手に身に覚えのない支払いが行われている、ということを避けるためにも、連携しているサービスは解除しましょう。

3. 同じパスワードを使っている場合、他のサービスもパスワードを変更する

管理する上で、様々なサービスの全てのパスワードを違うものにするのは、現実的に難しいことです。

同じパスワードを使いまわしている人も少なくないでしょう。

しかし、不正アクセスを行う攻撃者は、手に入れたパスワードを他のサービスでも使っていないか、様々なサービスで入力し、ログインを試みます。

面倒でも、パスワードは違うものにする、少なくとも身に覚えのないログイン履歴を見つけた場合は、同じパスワードを使っているサービスのパスワードは変更しましょう。

最近は、携帯電話の番号を登録しておくと、ログイン時に、その場かぎりの確認コードやパスワードを発行・SMSへ送信され、一定の時間内にそのコード・パスワードを入力することで、ログインできるワンタイムパスワードのSMS認証もあります。

ブラウザでログインしようとしていたのに、SMSも見て入力して忙しいと感じる方もいるかもしれませんが、SMSを受け取るスマホや携帯電話を持っていないとログインできないので、安全性は上がります。

確認コードやパスワードは一回かぎりのものなので、使い回しもできず、ランダムな数字で推測も困難です。

今回は、身に覚えのないログイン履歴を見つけた場合の3つの対応方法をまとめました。
身に覚えのないログイン履歴を見つけたら、慌てずに、1. パスワードの変更　2. 連携サービスの解除　3. 他サービスの同パスワードの変更、で対応しましょう。

また、普段ログイン履歴を確認しない方も、時々はログイン履歴を確認することをおすすめします。

参考：
サイバーセキュリティ.com ワンタイムパスワードとは？その仕組み認証方法や利用のメリットなど
https://cybersecurity-jp.com/security-measures/26623

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む