さまざまなWebサービスなどでアカウントの漏えいが発生している。アカウントが漏えいすると、それを悪用しようとする人たちが不正なアクセスを試みる。簡単なパスワードだと、突破されてしまう危険性もある。そこで、Microsoftアカウントで不正アクセスされていないかどうかを確認し、パスワードを変更、セキュリティを高めるために2段階認証を設定する方法を解説する。
対象:Microsoftアカウント
KADOKAWAとドワンゴのサーバが攻撃され、情報漏えいが発生したようだ(ドワンゴのプレスリリース「当社サービスへのサイバー攻撃に関するご報告とお詫び」)。原稿執筆時点では、全容が明らかになっていないため、ドワンゴの動画サービス「ニコニコ」などのユーザーアカウントが漏えいしたかどうかは不明だ。ただ、筆者のアカウントを含め、どうもニコニコのアカウントとして登録したメールアドレスに対して不正アクセスの試みがなされているようだ。
なおドワンゴのX(旧Twitter)への投稿によると、「ニコニコアカウントのパスワードについては、システム内で暗号化されてから保存しており、仮に流出していたとしてもすぐに悪用される可能性は低いと考えております」ということだが、安心はできないだろう。
そこで、本Tech TIPSではMicrosoftアカウントで不正アクセスが試みられていないかどうかを確認する方法と、セキュリティを高めるためにパスワードの変更方法と2段階認証を有効にする方法を紹介する。Googleアカウントについては、Tech TIPS「Googleアカウントがこっそり不正アクセスされていないか確認する方法」を参照して確認してほしい。
Microsoftアカウントが不正にアクセスされていないかどうかを確認するには、まずWebブラウザで「Microsoftアカウント」ページを開き、確認したいMicrosoftアカウントでサインインする。次に「Microsoftアカウント」ページを開いて、[セキュリティ]を展開し、[サインインアクティビティを表示する]をクリックする。
「いつどこでアカウントを使ったかご確認ください」画面が表示されるので、ここでアクティビティを確認すればよい。「セッションの種類」欄で「正常にサインインしました」と表示された項目がある場合、自分がサインインしたものかどうかを確認すること。もし覚えのないサインインであった場合は、パスワードが突破され、不正にアクセスされている可能性がある。
筆者のMicrosoftアカウントのアクティビティを見ると、「米国」「ケニア」「モンテネグロ」「ブラジル」「スイス」などさまざまな国からのアクセスが試され、サインインに失敗していることが分かる。
「セッションの種類」欄で「自動同期」と表示されている項目は、これだけだと不正にアクセスされているのかどうかが分からないので、ここをクリックして展開する。すると、同期に成功しているかどうかが確認できる。
もし、自分が同期を実行していないにもかかわらず、同期に成功していた場合、メールアカウントが盗まれてしまっているので、「覚えありませんか?」欄の[アカウントを保護する]リンクをクリックして、同期を停止してから、すぐにパスワードを変更するとよい。
Microsoftアカウントに覚えのないサインインが見つかった場合は、すぐにパスワードを変更しよう。また、大量の覚えのないアクセスがあった場合も、念のためパスワードをより複雑なものに変更して、安全性を高めておいた方がよい。
それには、「Microsoftアカウント」ページの「セキュリティ」欄で[パスワードを変更する]をクリックして、表示されたMicrosoftアカウントのパスワード入力画面でパスワードを入力してサインインする。この際、パスワードが盗まれて、変更されてしまったような場合は、[パスワードを忘れた場合]リンクをクリックして、別の認証方法(本人確認)でサインインする。
サインインすると「パスワードの変更」画面が開くので、ここで現在のパスワードと新しいパスワードを入力して、[保存]ボタンをクリックする。パスワードを変更すると、Microsoftアカウントでサインインしている他のサービスにおいても、新しいパスワードによる再サインインが要求される。
再設定するパスワードは、他のWebサービスなどで使用していないものにする。同じメールアドレスとパスワードの組み合わせだと、そのWebサービスから情報が漏えいした場合に、Microsoftアカウントに不正アクセスされてしまう可能性があるからだ。サービス名の短縮形をパスワードの途中に含めるなど工夫して、Webサービスごとに異なるが、覚えていられるパスワードを生成するとよいだろう。
アカウントのセキュリティを高めるには、パスワードを複雑にするだけでなく、2段階認証(多要素認証)を有効にし、新しいデバイスやWebブラウザからのアクセスの際に、スマートフォンなどの別デバイスによる認証を必要とするようにしておくとよい。万一、パスワードによる認証が突破されても、スマートフォンで認証しなければアクセスができないし、認証が求められることでアカウントに不正アクセスがあったことが即座に分かるようになるからだ。
Microsoftアカウントで2段階認証を有効にするには、「Microsoftアカウント」ページの「セキュリティ」欄で[追加のセキュリティオプション]をクリックして、「セキュリティ」画面を開き、「2段階認証」の[管理]をクリックして設定する。
「2段階認証のセットアップ」画面に切り替わるので、ここで[次へ]ボタンをクリックする。スマートフォンに「Microsoft Authenticator」アプリをインストールすることが求められるので、インストールしていない場合は「Google Playストア」や「App Store」から「Microsoft Authenticator」アプリをインストールする。なお、「Microsoft Authenticator」アプリでなくても、「Google Authenticator」や「Authy」など、別の認証アプリがインストール済みの場合は、それらでも構わない(Google Authenticatorの設定方法などはTech TIPS「Androidの認証アプリ『Google Authenticator』の使い方」参照のこと)。
スマートフォンに認証アプリがインストールできたら、「Microsoft Authenticatorアプリを設定します」画面の[別の認証アプリを設定します]リンクをクリックする。「認証アプリの設定」画面に切り替わり、QRコードが表示されるので、このQRコードを認証アプリで読み取って、Microsoftアカウントを認証アプリに追加する。認証アプリにMicrosoftアカウントが追加されたら、そのアカウント名をタップして、ワンタイムパスワードコードを表示し、そこに表示された6桁の数字を「アプリによって生成されたコード」欄に入力する。ワンタイプパスワードコードは30秒で変わってしまうので、なるべく素早く入力して[次へ]ボタンをクリックすること。これで2段階認証が有効化できる。
Copyright© Digital Advantage Corp. All Rights Reserved.