セキュリティの話になると、必ずと言っていいほど「パスワードの使い回しはやめましょう」と言われます。実際、それは正論です。にもかかわらず、私は今でもパスワードを使い回しています。にもかかわらず、20年以上ネットを使っていて、一度もフィッシング詐欺に遭ったことがありません。
この記事にはプロモーションを含みます。
なぜそんなことが可能なのか? その秘密は、「1サービスごとに1メールアドレスを使う」というシンプルな運用方法にあります。
メールアドレスは「そのサービス専用」前提で設計する
私のメールアドレスは、GmailやYahooメールのようなフリーメールではなく、自分の独自ドメインです。たとえば example.com のようなドメインを取得し、その中で次のような形式のメールアドレスを使っています。
amazon@example.com x@example.com netflix@example.com …
このように、1つのサービスに対して1つのメールアドレスを発行するのです。これにより、あるサービスから情報漏洩があっても、そのメールアドレスが悪用されるのは限定的ですし、何よりも「どこから漏れたか」が一目瞭然になります。
Catch-allはあえて使わない
独自ドメインを使っていると、Catch-all(キャッチオール)機能が便利に思えるかもしれません。これは、どんな宛先でも @example.com に届いたメールをすべて受信する機能です。
たとえば abcd@example.com や 123@example.com のようなメールも、受信できます。いちいちメールアドレスを作成する必要がなく、とても楽です。
ですが、私はこのCatch-allを一切使いません。
Catch-allが危険な理由
- 適当に生成されたメールにも反応してしまう
攻撃者はpaypal@example.comやapple@example.comなど「それっぽいアドレス」にフィッシングメールを送ってきます。Catch-allを有効にしていると、それらが届いてしまい、自分が使っているアドレスかどうか判別しづらくなるのです。 - スパムの入り口になる
「@example.com 宛なら全部届く」とわかれば、スパム業者は次々に宛先を変えてメールを送ってきます。メールボックスがゴミ箱になります。 - 本物のフィッシングと区別がつかない
自分が本当に使っているメールアドレスと、詐欺師が送ってきたそれっぽいメールアドレスの区別が難しくなります。
私の場合、明示的に作成したメールアドレスしか受信できない設定にしています。これにより、「存在しないメールアドレス宛のメールはバウンス(送信失敗)」し、詐欺やスパムの侵入経路がそもそも存在しないのです。
なぜこの方法が最も安全なのか?
- 1サービスごとに違うメールアドレスなので、漏洩経路が特定できる
たとえば「netflix@example.com」にスパムが来たら、Netflixから漏れたと判断できます。 - 迷惑メールを一瞬で遮断できる
特定のメールアドレスを無効化するだけで、そのスパムは届かなくなります。Gmailのようにフィルターを複雑に設定する必要がありません。 - Catch-allを使わないことで、不正メールの大半を自動拒否
攻撃者が総当たりでメールを送ってきても、私の環境では何も届きません。受信拒否されるだけです。 - メールアドレスが流出してもパスワード流用の影響は限定的
たとえ使い回しているパスワードが漏れても、メールアドレスがサービス専用なので、認証突破に必要な「セット」が揃いません。
パスワードを使い回しても「仕組み」で守れる
私は正直に言えば、パスワードマネージャーを使っていません。複雑な文字列をすべて記憶しておくのも無理です。だから使い回しています。ですが、その代わりに、メールアドレスという入り口をコントロールしているのです。
多くのフィッシング詐欺は、「正しいメールアドレスに届く」「本人になりすました内容」であることが前提です。しかし、私のように「他サービスとは使い回していないメールアドレス」であれば、そのメールが本物かどうかをアドレスだけで瞬時に判別できます。
Catch-allを無効にし、1サービス1メールアドレスを徹底する──それだけで、セキュリティ対策は格段に向上します。
さらに秀丸メールが守ってくれる
秀丸メールにはメールを送信した国を表示する機能があります。
送信メールサーバーの国とサービス提供国に矛盾が起きれば、簡単に詐欺メールだってことがわかります。
まとめ:メールアドレスの管理が最大のセキュリティ対策
「パスワードを使い回さないこと」が推奨される理由は、漏洩時に他のサービスも突破されるリスクがあるからです。ですが、メールアドレスとパスワードの「セット」で突破されない限り、大きな問題にはなりません。
そのためには、「1サービスごとに異なるメールアドレスを発行し、Catch-allを無効にする」というルールを徹底するだけで、使い回しパスワードのリスクは限りなく小さくなるのです。
複雑なセキュリティ知識やツールを使わなくても、「仕組み」で防御することはできます。実際、私はこの方法で長年、トラブルなくネット生活を続けられています。
なのなの
元取締役、元音楽家、元SE、元レトルトカレー評論家、元ゲーム音楽家(SM調教師瞳シリーズなど)
現在は日本の鉄道事故専任ライターをしているなの
日本標準ネット通販はAmazon
萌え萌えするには日本で唯一取得できるゴンベエドメイン
あたしの中のカワボ ほしいの
パソコン回収のライズマーク ギフト券プレゼントキャンペーン実施中
小さく梱包すれば送料でトクするかも?
Hosted by 773.moe
本記事を引用せずコピペ・同一の意味を掲載した場合には、気軽に訴訟させていただくなの
このブログでは決して右クリック・ソース表示(view-sourceを含む)を行わないでなの 管理者に通知されるの
このブログはインターリンク回線で提供してるの
コメント