海外ビットコイン取引所で日常的にビットコインFXトレードをしている仙人です。
今回はセキュリティ面で重要な視点である「同じメールアドレスとパスワードの組み合わせ」が不正ログインの原因となる理由と、一つのメールアドレスでも出来る簡単なズラし手法についてご紹介します。
分かりやすい例として、世界シェアトップ2の取引所、BitMEX(ビットメックス)とBinance(バイナンス)を挙げます。
この2つの取引所は世界トップクラスの堅牢なセキュリティを誇る取引所として知られています。
しかもアカウント登録はメールアドレスだけあればできます。
しかしいくらセキュリティが最強でも、ハッキング(不正ログイン)されてしまうケースがあります。
それが「同じメールアドレスとパスワードの組み合わせ」の使いまわしです。
今回はこれを最も簡単に防ぐあまり知られていない対策方法を伝授します。
なぜ同じメールアドレスとパスワードの使いまわしは危険か
唯一不正ログインされてしまうケース、それはフィッシング詐欺に引っかかってログイン情報を偽サイトに入力してしまうパターンと、パスワードとメールアドレスの使いまわしであるパターンです。
3つの情報があれば誰でも取引所にログインが可能
ほぼ全ての仮想通貨取引所のログインには以下の3つの情報が必要です。
- メールアドレス
- パスワード
- 二段階認証コード(設定していれば)
どんなに強固なセキュリティシステムでも、このようなログイン情報が他者に漏洩してしまうと不正ログインの原因となります。
もし二段階認証を設定していなかったのだとしたら、メールアドレスとパスワードだけでログインできてしまいます。
必ず資産を預ける取引所の二段階認証は設定しておきましょう。
ログイン情報(メールとパスワード)が漏洩してしまう理由
よほどセキュリティに気を使っている人でない限り、普通の人は取引所の登録に使うメールアドレスは2~3つほどです。
受信箱をチェックする管理が面倒だからですね。
メールアドレスは最も情報が特定しやすい
つまり、メールアドレスは最も情報が特定しやすいのです。
もっと言えば、メールアドレスはすでに漏洩している前提だと考えるのが防御力高めでいかもしれません。
最後の砦はパスワードですが、ユーザー情報の漏洩元はそこかしこにあります。
もしどこかのセキュリティが脆弱な中小仮想通貨取引所に会員登録をしていたとして、その取引所がハッキング被害を受けてユーザーのログイン情報が盗まれてしまったとしたら。
それが仮想通貨取引所のハッキングとは限りません。
何かしらの懸賞サイト…。
amazonやYahoo!、Rautenなどショッピングサイト…。
その他無料登録サービスの様々な作りが甘いポータルサイト…。
悪質な仮想通貨取引所だったら、ユーザー情報を運営者が直接悪用するかもしれません…。
世の中すべてのサイトのログイン情報がハッキング対象となります。
ハッカーは盗んだログイン情報を使ってあらゆる仮想通貨取引所に、プログラムを使って高速で総当たり方式でログインを試みるでしょう。
どこかの取引所にログインできた時の費用対効果は高いので、狙われやすいでしょうね。
ログイン情報の使いまわし例
以下の表のように同じメールアドレスとパスワードを使い回すと自らセキュリティホールを作ることになり、不正ログインの可能性が出てきます。
| 取引所 | メールアドレス | パスワード |
|---|---|---|
| 取引所A | example@gmail.com←漏洩 | example12345←漏洩 |
| BitMEX | example@gmail.com | example12345 |
| Binance | example@gmail.com | example12345 |
もしこの「取引所A」が悪質なサービスであった場合、不正ログインされアウトですよね。
単一アドレスで複数の組み合わせを作る不正ログイン回避策
最もオーソドックスなログイン情報の使いまわし回避方法といえば、
「どの取引所でも全く新しいパスワードを生み出す」ということになりますよね。
でもそれは誰でも考えられることなので、今回はもっと簡単で防御力の高い方法を伝授します。
Gメールなら同じメールアドレスでずらしが可能
既に使っているGメールアドレス(~@gmail.com)に、+(プラス)と好きな単語を後ろにくっつけると、実は新たなメールアドレスを取得しなくても新アドレスを作れます。
これにより、漏洩しやすいメールアドレスを補足されにくくすることができます。
この方法の大きなメリットは、メールボックス(受信箱)を一つのアカウント内で管理するのでメールの見逃しがほぼない、ということです。
しかもGメールなら迷惑メールとの振り分け機能の精度やカスタマイズ性も高いです。
例を出します。例えば、次のようにアカウントの後ろに挿入します。
元のアドレス(適当):example@gmail.com
例(BitMEX登録用):example+bitmex1@gmail.com
ちゃんと登録出来ますよ。(もしかしたらこれができない取引所もあるかもしれない、けど今のところ聞いたことはない)
パスワードは自分だけがわかるパターンを決めると管理しやすい
これはよく知られてる方法かもしれないです。
たとえば、BitMEXにログインするときのパスワードをexamplemex
Binanceにログインするときのパスワードをexamplebina
という風に、基準にするパスワードを決めて、後半は登録サイトによって変化させる方法があります。
後半部分はサイト名でもいいですし、他にも自分だけがわかるパターン化してしまえば強固なパスワードをいくつでも作り、暗記しておくこともできるでしょう。(万が一忘れたときのためにメモには取っておくべき)
ログイン情報の組み合わせベストパターン
私がこの記事で紹介したテクニックを総合したメールアドレスとパスワードのログイン情報組み合わせベストパターンは以下のようになります。
| 取引所 | メールアドレス | パスワード |
|---|---|---|
| 取引所A | example+a3@gmail.com←漏洩 | example12345aa←漏洩 |
| BitMEX | example+mex1@gmail.com | example12345mex |
| Binance | example+bn@gmail.com | example12345bina |
もし取引所Aがハッキングされ、メールアドレスまたはパスワードが流出しても、これなら不正ログインできる可能性がほぼなくなります。
メールボックス(受信箱)は同じなのでメールの見逃しもしない。パスワードの暗記もしやすい。
二段階認証を設定していれば不正ログインはほぼ防げるのか?
これって、二段階認証を設定していたらメールアドレスとパスワードが流出しても別に防げるんじゃない?
と思いますか?
ログインするデバイスがハッキングされたら?
二段階認証を信頼しきっていたら、もし自分のパソコンやスマホがハッキングを受け、遠隔操作されて二段階認証を解除されてしまうかもしれません。(ログイン情報を知っている可能性は低いと思うけど)
二段階認証を解除したタイミングでアクセスされてしまうかもしれない
二段階認証を何かの設定中に誤って解除してしまうかもしれません。
また、スマホの機種変更時や、スマホの紛失による二段階認証の解除をサポートに依頼したときなど、一時的に二段階認証を解除しなければいけない場面があります。
その時狙われないという自信はありますか?
あと普通に、自分のログインパスワードとアドレスが漏洩していたとしたら気持ち悪いですよね。
不正ログイン対策のまとめ
世界シェアトップ2の取引所を例に、新規ユーザー登録で同じメールアドレスとパスワード組み合わせは危険であること、Gメールを使った最も簡単な不正ログイン回避策をを解説してみました。
もし今現在、多くのサイトのログイン情報(メールアドレスとパスワード)を同じものにしているのだとしたらGメールのアドレス振り分け機能を使って、重要な取引所だけでも変更しておくことをオススメします。
※ログイン情報変更によるトラブルには当サイトは責任を負えません。
コメント欄