ニコ動アカウント漏えいの可能性を受けて、Microsoftアカウントが不正アクセスされていないか確認するTech TIPS

さまざまなWebサービスなどでアカウントの漏えいが発生している。アカウントが漏えいすると、それを悪用しようとする人たちが不正なアクセスを試みる。簡単なパスワードだと、突破されてしまう危険性もある。そこで、Microsoftアカウントで不正アクセスされていないかどうかを確認し、パスワードを変更、セキュリティを高めるために2段階認証を設定する方法を解説する。

» 2024年07月05日 05時00分 公開
[小林章彦デジタルアドバンテージ]
「Tech TIPS」のインデックス

連載目次

対象:Microsoftアカウント


Microsoftアカウントが不正アクセスされていないことを確認する Microsoftアカウントが不正アクセスされていないことを確認する
Webサービスなどからアカウントの情報が漏えいすると、悪意のある人たちが不正なアクセスを試みようとする。Microsoftアカウントでは、新たなサインインなどを試みた場合、「アクティビティ」として記録される。これを確認することで、不正なアクセスが発生していないかどうかが確認可能だ。本Tech TIPSでは、Microsoftアカウントで不正アクセスがされていないかどうかを確認する方法に加え、パスワードの変更方法と2段階認証を設定する方法を紹介する。

 KADOKAWAとドワンゴのサーバが攻撃され、情報漏えいが発生したようだ(ドワンゴのプレスリリース「当社サービスへのサイバー攻撃に関するご報告とお詫び」)。原稿執筆時点では、全容が明らかになっていないため、ドワンゴの動画サービス「ニコニコ」などのユーザーアカウントが漏えいしたかどうかは不明だ。ただ、筆者のアカウントを含め、どうもニコニコのアカウントとして登録したメールアドレスに対して不正アクセスの試みがなされているようだ。

 なおドワンゴのX(旧Twitter)への投稿によると、「ニコニコアカウントのパスワードについては、システム内で暗号化されてから保存しており、仮に流出していたとしてもすぐに悪用される可能性は低いと考えております」ということだが、安心はできないだろう。

ニコニコ公式のX(旧Twitter)への投稿 ニコニコ公式のX(旧Twitter)への投稿
ニコニコ公式がX(旧Twitter)に投稿した内容によると、パスワードは暗号化されており、流出していた場合でも悪用される可能性は低いとしている。ただし、万一のために同じメールアドレスとパスワードの組み合わせを使っている、別のサービスについてはパスワードの変更が望ましいということだ。

 そこで、本Tech TIPSではMicrosoftアカウントで不正アクセスが試みられていないかどうかを確認する方法と、セキュリティを高めるためにパスワードの変更方法と2段階認証を有効にする方法を紹介する。Googleアカウントについては、Tech TIPS「Googleアカウントがこっそり不正アクセスされていないか確認する方法」を参照して確認してほしい。

Microsoftアカウントの「アクティビティ」を確認する

 Microsoftアカウントが不正にアクセスされていないかどうかを確認するには、まずWebブラウザで「Microsoftアカウント」ページを開き、確認したいMicrosoftアカウントでサインインする。次に「Microsoftアカウント」ページを開いて、[セキュリティ]を展開し、[サインインアクティビティを表示する]をクリックする。

 「いつどこでアカウントを使ったかご確認ください」画面が表示されるので、ここでアクティビティを確認すればよい。「セッションの種類」欄で「正常にサインインしました」と表示された項目がある場合、自分がサインインしたものかどうかを確認すること。もし覚えのないサインインであった場合は、パスワードが突破され、不正にアクセスされている可能性がある。

 筆者のMicrosoftアカウントのアクティビティを見ると、「米国」「ケニア」「モンテネグロ」「ブラジル」「スイス」などさまざまな国からのアクセスが試され、サインインに失敗していることが分かる。

Microsoftアカウントが不正にアクセスされていないかどうかを確認する(1) Microsoftアカウントが不正にアクセスされていないかどうかを確認する(1)
Webブラウザで「Microsoftアカウント」ページを開き、[サインイン]ボタンをクリックする。
Microsoftアカウントが不正にアクセスされていないかどうかを確認する(2) Microsoftアカウントが不正にアクセスされていないかどうかを確認する(2)
確認したいMicrosoftアカウントを入力し、[次へ]ボタンをクリック、次のダイアログでパスワードを入力して、サインインする。
Microsoftアカウントが不正にアクセスされていないかどうかを確認する(3) Microsoftアカウントが不正にアクセスされていないかどうかを確認する(3)
「Microsoftアカウント」ページが開くので、「セキュリティ」欄を展開し、[サインインアクティビティを表示する]をクリックする。
Microsoftアカウントが不正にアクセスされていないかどうかを確認する(4) Microsoftアカウントが不正にアクセスされていないかどうかを確認する(4)
サインインしたMicrosoftアカウントに対するアクティビティが表示される。画面のように覚えのないアクティビティが大量に表示された場合は、Microsoftアカウントの情報が流出しており、不正なアクセスを試みられていることが分かる。「セッションの種類」欄が「サインインの失敗」となっている場合は、サインインを試みたが、パスワードが間違っていてサインインできなかったことを表している。

 「セッションの種類」欄で「自動同期」と表示されている項目は、これだけだと不正にアクセスされているのかどうかが分からないので、ここをクリックして展開する。すると、同期に成功しているかどうかが確認できる。

 もし、自分が同期を実行していないにもかかわらず、同期に成功していた場合、メールアカウントが盗まれてしまっているので、「覚えありませんか?」欄の[アカウントを保護する]リンクをクリックして、同期を停止してから、すぐにパスワードを変更するとよい。

「自動同期」は展開して確認する 「自動同期」は展開して確認する
「セッションの種類」欄が「自動同期」と表示されている場合、IMAPなどによるメールの自動同期が試されている。この場合、「自動同期」を展開しないと、同期に成功しているか失敗しているかが分からない。「接続」欄が「同期に失敗」となっていた場合は、不正アクセスに失敗している。もし、覚えがない「自動同期」が成功していた場合は、[アカウントを保護する]をクリックして、同期を停止し、パスワードを変更するなどの対策が必要になる。

Microsoftアカウントのパスワードを変更する

 Microsoftアカウントに覚えのないサインインが見つかった場合は、すぐにパスワードを変更しよう。また、大量の覚えのないアクセスがあった場合も、念のためパスワードをより複雑なものに変更して、安全性を高めておいた方がよい。

 それには、「Microsoftアカウント」ページの「セキュリティ」欄で[パスワードを変更する]をクリックして、表示されたMicrosoftアカウントのパスワード入力画面でパスワードを入力してサインインする。この際、パスワードが盗まれて、変更されてしまったような場合は、[パスワードを忘れた場合]リンクをクリックして、別の認証方法(本人確認)でサインインする。

 サインインすると「パスワードの変更」画面が開くので、ここで現在のパスワードと新しいパスワードを入力して、[保存]ボタンをクリックする。パスワードを変更すると、Microsoftアカウントでサインインしている他のサービスにおいても、新しいパスワードによる再サインインが要求される。

Microsoftアカウントのパスワードを変更する(1) Microsoftアカウントのパスワードを変更する(1)
「Microsoftアカウント」ページの「セキュリティ」欄で[パスワードを変更する]をクリックする。
Microsoftアカウントのパスワードを変更する(2) Microsoftアカウントのパスワードを変更する(2)
Microsoftアカウントのパスワードの再入力が求められるので、現在のパスワードを入力する。アカウントが乗っ取られて、既にパスワードが変更されてしまっているような場合は、[パスワードを忘れた場合]リンクをクリックして、パスワードの再設定を実行する。
Microsoftアカウントのパスワードを変更する(3) Microsoftアカウントのパスワードを変更する(3)
現在のパスワードと、新しいパスワードを入力して、[保存]ボタンをクリックする。パスワードを変更すると、他のデバイスなどでサインイン状態のMicrosoftアカウントも、パスワードの入力が求められる。
Microsoftアカウントのパスワードを変更する(4) Microsoftアカウントのパスワードを変更する(4)
「Microsoftアカウント」ページに戻るために、再びパスワードの入力が求められる。この際に入力するのは、新しいパスワードとなる。

 再設定するパスワードは、他のWebサービスなどで使用していないものにする。同じメールアドレスとパスワードの組み合わせだと、そのWebサービスから情報が漏えいした場合に、Microsoftアカウントに不正アクセスされてしまう可能性があるからだ。サービス名の短縮形をパスワードの途中に含めるなど工夫して、Webサービスごとに異なるが、覚えていられるパスワードを生成するとよいだろう。

Microsoftアカウントの2段階認証を有効化する

 アカウントのセキュリティを高めるには、パスワードを複雑にするだけでなく、2段階認証(多要素認証)を有効にし、新しいデバイスやWebブラウザからのアクセスの際に、スマートフォンなどの別デバイスによる認証を必要とするようにしておくとよい。万一、パスワードによる認証が突破されても、スマートフォンで認証しなければアクセスができないし、認証が求められることでアカウントに不正アクセスがあったことが即座に分かるようになるからだ。

 Microsoftアカウントで2段階認証を有効にするには、「Microsoftアカウント」ページの「セキュリティ」欄で[追加のセキュリティオプション]をクリックして、「セキュリティ」画面を開き、「2段階認証」の[管理]をクリックして設定する。

 「2段階認証のセットアップ」画面に切り替わるので、ここで[次へ]ボタンをクリックする。スマートフォンに「Microsoft Authenticator」アプリをインストールすることが求められるので、インストールしていない場合は「Google Playストア」や「App Store」から「Microsoft Authenticator」アプリをインストールする。なお、「Microsoft Authenticator」アプリでなくても、「Google Authenticator」や「Authy」など、別の認証アプリがインストール済みの場合は、それらでも構わない(Google Authenticatorの設定方法などはTech TIPS「Androidの認証アプリ『Google Authenticator』の使い方」参照のこと)。

 スマートフォンに認証アプリがインストールできたら、「Microsoft Authenticatorアプリを設定します」画面の[別の認証アプリを設定します]リンクをクリックする。「認証アプリの設定」画面に切り替わり、QRコードが表示されるので、このQRコードを認証アプリで読み取って、Microsoftアカウントを認証アプリに追加する。認証アプリにMicrosoftアカウントが追加されたら、そのアカウント名をタップして、ワンタイムパスワードコードを表示し、そこに表示された6桁の数字を「アプリによって生成されたコード」欄に入力する。ワンタイプパスワードコードは30秒で変わってしまうので、なるべく素早く入力して[次へ]ボタンをクリックすること。これで2段階認証が有効化できる。

Microsoftアカウントの2段階認証を有効化する(1) Microsoftアカウントの2段階認証を有効化する(1)
「Microsoftアカウント」ページの「セキュリティ」欄で[追加のセキュリティオプション]をクリックする。
Microsoftアカウントの2段階認証を有効化する(2) Microsoftアカウントの2段階認証を有効化する(2)
「2段階認証」欄の[管理]をクリックする。
Microsoftアカウントの2段階認証を有効化する(3) Microsoftアカウントの2段階認証を有効化する(3)
ここでは[次へ]ボタンをクリックする。
Microsoftアカウントの2段階認証を有効化する(4) Microsoftアカウントの2段階認証を有効化する(4)
スマートフォンに認証アプリをインストールしてから、[別の認証アプリを設定します]をクリックする。「Microsoft Authenticator」アプリを使う場合も、[別の認証アプリを設定します]をクリックして設定した方が楽だ。
Microsoftアカウントの2段階認証を有効化する(5) Microsoftアカウントの2段階認証を有効化する(5)
設定用のQRコードが表示されるので、スマートフォンの認証アプリでQRコードを読み込む。認証アプリに「Microsoftアカウント」が追加されるので、これをタップしてワンタイムパスワードを表示、そのワンタイムパスワードを「アプリによって生成されたコード」欄に入力する。
Microsoftアカウントの2段階認証を有効化する(6) Microsoftアカウントの2段階認証を有効化する(6)
2段階認証が「オン」になる。2段階認証を有効化すると、既にMicrosoftアカウントでサインインしている、他のデバイスでも認証が求められるので注意してほしい。
Microsoftアカウントの2段階認証を有効化する(7) Microsoftアカウントの2段階認証を有効化する(7)
2段階認証を有効化すると、このように新しいデバイスでサインインした際に認証アプリなどでの承認が求められるようになる。

Copyright© Digital Advantage Corp. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。