今回はセキュリティを中心に、PCやスマフォなどのちょっとした知恵をご紹介させていただこうと思います。

■パスワードの定期変更は意味がない？

インターネット上のサイトにログインする際のパスワードを定期変更させるようなところが今でもありますが、パスワードの定期変更は意味があるのでしょうか？

この問いに対する答えですが、パスワードの定期変更は意味がない可能性が高いです。

ハッキングする悪意のある第三者というのは、大抵プログラムで文字をランダムに変更しながら、高速で何度もログインを試みるので、パスワードを変更しようがしまいが、意味がないと考えられます。
ただ、1から9、aからzなど、順番に試すハッキング方法の場合は、その途中でパスワードを変更すれば防げるという可能性もなくはないですが、このようなケースは限りなく0%に近いでしょう。

銀行サイトや古いサイトなどでは、未だに強制的にパスワードを定期変更を要求してくるところもありますが、時間の無駄でしかないと言えます。
もちろん、パスワードの文字がよく使用されてるような簡単なものであったり、誕生日や電話番号など、個人情報から簡単に予測できるようなものにしている場合は、変更した方が良いですが、そうでない場合は定期変更にする必要はないでしょう。

また、自分でパスワードを設定できるならまだそれに従って変更すれば良いですが、パスワードをメールで送ってくるようなところは、逆にセキュリティ的に危険になります。

メールだけでなく、インターネットで通信を行う時は、様々なサーバーを経由して送信が行われているのですが、そのサーバーの管理者は、通信内容を見ようと思えば見れてしまいます。
もちろん、ほとんどのサーバー管理者は、そのようなことはしませんが、悪意のある第三者がいた場合は、盗み取られてしまいます。

通常、ブラウザでサイトアクセスした場合、個人情報やログイン情報などを入力するようなページでは、SSLというセキュリティが高い暗号化通信が行われており、通信を経由するサーバー上でそのデータを取れたとしても、復号化することができず、盗み見ることはできません。

この方式については、公開暗号鍵という技術が使用されておりますが、簡単に言えば、個人情報を受け取るサーバー側が、公開鍵をブラウザに渡して、送信する際にその鍵で暗号化してもらうのですが、そのデータを復号化するには、公開鍵を発行したサーバーでしかできないという仕組みです。
詳しく知りたい方はネットなどで調べていただければと思います。

ところが、メールの場合、個人対個人となるので、この公開暗号鍵方式を使用することができません。
そのため、メールの内容は、通信経由しているサーバーで見ることができてしまうのです。

メールを暗号化する方法もなくはないのですが、受け取り側が復号化できるということは、悪意のある第三者も復号化できるということになるので、現状は暗号化なしでメール送信されているのが通常です。

メールにパスワードを書いてしまうと、誰がそのメールを見ているか分からないので、危険というわけです。
もちろん、ほとんどのサーバー管理者は、メール内容を見ているわけではありませんので、それほど心配する必要はないのですが、少なくともメールにはパスワードなどの重要な情報は書かない方が安全と言えます。

定期的にパスワードを強制的に変更し、そのパスワードをメールで送ってくるようなサイトは、セキュリティのことを分かっていないと思われますので、そのようなサイトは利用しないようにするか、クレームを出すなどの対応をした方が良いでしょう。

■ZIPファイルにパスワードは必要？

仕事をしていると、たまに重要なファイルをZIPファイルに圧縮して、そのZIPファイルにパスワードをかけてメール添付で送り、そのパスワードを別のメールで送ってくる方がいらっしゃいます。
この方法は問題ないのでしょうか？

答えとしては、問題があると言えます。

ZIPファイルにパスワードをかけたとしても、ZIPファイルもパスワードもメールで送ってしまうのでは意味がないと思われます。

先ほど書いたように、通信を経由しているサーバーの管理者は、メール内容を見ることができます。
そのため、ZIPファイルを添付したメールも、パスワードを書いたメールも、両方見ることができてしまうのです。

もちろん、多数の通信がありますので、パスワードが書いてあるメールを特定するのは難しいと思う方もいらっしゃるかもしれませんが、IPアドレスやメールアドレスなどで特定するのは難しくないことです。

逆に、ZIPファイルにパスワードをかけてしまうことにより、このファイルは重要ファイルだと知らしめてしまう可能性があります。
そのため、ZIPファイルにパスワードをかけて、添付でメールを送り、パスワードを別のメールで送るという方法は、危険であると言えます。

対策としては、パスワードをFAXや電話など別の方法で伝えるか、ZIPファイルをパスワードのかかったインターネット上のサイトにアップロードするなどにした方が良いでしょう。
このサイトへのパスワードとURLを同じメールに書くと危険かもしれませんが、URLとパスワードを別々のメールにすれば、第三者が盗み取ろうとする可能性はかなり低くなります。

セキュリティについては、色々とあって難しいと思われるかもしれませんが、個人情報や会社のデータを守るためには、最低限でも知っておく必要がありますので、PCやスマフォを扱う方は、勉強しておきましょう。

■QRコード決済が危険な理由

～～PayなどのQRコード決済が日本でも普及していますが、QRコード決済はセキュリティ上の危険があります。
QRコード決済でQRコードを表示した際に、近くにいる人が簡単にカメラなどでコピーできてしまうということです。

もちろんその対策として、アプリで表示する際に、セキュリティコードのようなものを都度発行して、短い時間しか有効にならないようにしているのですが、逆に言えば、その短い時間内であれば、コピーして利用できてしまうということですし、QRコード内の文字データを盗んで解析するということもできます。

対策としては、QRコードを表示した時は、カメラなどに撮影されないように注意するくらいしかありません。

中国では、店側の導入のしやすさから、店にQRコードを印刷しておいておき、客がアプリでそのQRコードをスキャンして支払いを行うという方法が取られているところが多いですが、隙を見て店のQRコードを貼り替え、お金を盗むという事件が多発していました。

このように、QRコード決済は物理的に危険なことがあるのはどうしても回避できないのです。
私は最初からそのことが分かっていたので、QRコード決済は利用していません。
まぁ、私の場合は元々FeliCaのおサイフケータイを使っているので、QRコード決済をわざわざ使う必要がなかったという理由もあります。

FeliCaというのは、携帯電話やスマートフォンに埋め込んだICチップによって決済を行うというもので、駅の自動改札で使われているSuicaなどもその技術が使われています。

FelicaはICチップなので、微弱な電波で電流を一時的に発生させてスキャンするので、携帯電話やスマートフォンの電源が入っていなくても決済ができます。
リーダーの方から発生する微弱な電波が、ICチップに電流を流すことで、一瞬で様々なデータのやり取りをしているというわけです。

また、携帯電話やスマートフォンのアプリを使えば、オンラインでチャージすることができ、金額が少なくなれば自動的にチャージするようにするオートチャージも設定できます。
このFeliCaは、20年以上も実績があり、セキュリティの問題があったというニュースはほとんど聞いたことがありません。

長年このおサイフケータイを使っている私としては、こちらの方が普及してほしかったのですが、後出しジャンケンで負けているようなQRコード決済が普及しているのは残念なことであります。

皆さんもQRコード決済を行う際は、カメラ撮影でコピーなどされないよう、常に気をつけていただければと思います。