米国の国家サイバーセキュリティおよびインフラストラクチャセキュリティ庁（CISA）によると、米国で最も多いサイバー犯罪の種類は「なりすまし詐欺」であり、5人に1人が事件後に金銭的損失を報告しています。誤解のないように言うと、なりすまし詐欺とは、本質的には、悪意のあるオンラインの人物が、後日被害者（または関連組織）から金銭をゆすろうとする目的で、被害者の個人情報を盗んだり乗っ取ったりする状況を指します。また、電子メール アドレスは通常、オンライン上のほとんどの種類の個人情報 (ソーシャル メディア アカウントからゲーム サーバー、個々のショッピング バスケットまで) を公開するための鍵となるため、サイバー犯罪者はまず個人の (または仕事用の) 電子メールをハッキングして盗もうとすることがよくあります。

このため、近年、世界中のサイバーセキュリティの専門家は、企業と個人ユーザーの両方に、電子メール アカウント (および可能な場合) に多要素認証プロトコルを実装することを推奨しています。同様に、企業や個人ユーザーも、なりすましサーバーからのフィッシング メッセージから身を守るために、強力な電子メール認証/検証ポリシーを備えた電子メール クライアントを使用するようアドバイスされています。自分や会社が多要素認証プロトコルや安全な電子メール検証ポリシーを使用していないのではないかと心配な場合は、両方について詳しく知るために読み進めてください。

多要素認証とは何ですか?

多要素認証 (MFA と略されることもあります) は、ユーザーに特定のシステムへのアクセスを許可する前に複数レベルのセキュリティ チェックを可能にするサイバーセキュリティの実践です。電子メール アカウントの場合、ユーザーは追加のパスワード、セキュリティで保護された SMS からのコード、または事前に決められたセキュリティの質問への回答のいずれかまたは複数の入力を求められることがあります。MFA は主に、ハッカーやその他の悪意のあるオンライン アクターが盗んだ資格情報を使用してオンライン アカウントにアクセスするのを阻止するために使用されます。

その他の多要素認証の種類は次のとおりです。

• 音声メッセージ: パスフレーズまたはワンタイム コードを含む、携帯電話への安全な自動通話です。
• プッシュ通知 (番号の一致あり、または番号の一致なし): 番号が一致しないプッシュ通知は通常、モバイル デバイスまたはタブレット デバイス上の通知の形式をとり、ユーザーに通知の番号をオンライン アプリケーションに入力して認証要求を承認するよう求めるなどの操作が必要になります。
• ワンタイム パスワード (OTP): OTP は、一意のワンタイム パスワードをセカンダリ メール、携帯電話、またはタブレットに安全に送信するトークン ベースのシステムです。これらは通常、電子メール クライアントまたはプロバイダーによって操作され、ユーザーは割り当てられた時間内にワンタイム パスワードを入力する必要があります。これらは、特定の形式の安全なハードウェアによって生成されることもあり、通常は 4 桁から 12 桁の数字で構成されます。
• 公開鍵インフラストラクチャ (PKI): 2 つのキーによる非対称暗号システムを使用して、デジタル証明書を使用してデータを暗号化、交換、検証するハードウェアとソフトウェアの基礎セットです。
• Fast Identity Online (FIDO): FIDO 認証システムを使用すると、ユーザーは指紋リーダー、第 2 要素デバイスのボタン、安全に入力された PIN (通常は外部デバイス上)、音声認識、網膜認識、顔認識ソフトウェアなどのテクノロジーを介してシステムにアクセスできるようになります。

メールに多要素認証を使用する必要があるのはなぜですか?

サイバー犯罪者は、過去 10 年間でパスワードをハッキングするより洗練された方法を考案してきました。つまり、パスワード (どれほど強力であっても) だけでは急速に不十分になりつつあるということです。システムで多要素認証が利用できない場合は、強力なパスワード（10～12 文字で、特殊文字、数字、大文字、小文字を組み合わせたもの）を使用し、パスワード文字列を再利用せず、すべての一意のパスワードをパスワード マネージャーまたは Vaultに保存して、ローカル マシンまたはオンラインで保存されるパスワードを暗号化することをお勧めします。したがって、システムに侵入が発生した場合でも、パスワードはハッカーやその他の悪意のあるオンラインアクターには解読できません。

さらに、多要素認証では検証プロセスが別のデバイスで行われることが多く、ハッカーが個人情報にアクセスする前に複数のデバイスにアクセスする必要があるため、ブルートフォース攻撃を受ける可能性も減ります。データ侵害の約 50 ～ 60% はログイン認証情報の盗難が直接の原因であるため、多要素認証はシステムを保護し、進化するコンプライアンス標準をビジネスが満たせるようにするための最善の方法の 1 つです。

多要素認証の実装方法

今日の多くの最新のソフトウェア ポータルや電子メール クライアントでは、多要素認証が標準で有効になっているか、またはそれぞれのインターフェイスのセキュリティ設定で簡単な設定変更が必要です。

MFA の非常に基本的な適用方法は、システムの管理者と特権ユーザーに対して使用することです。ただし、MFA はより広範囲に展開し、社内または海外で使用されているすべてのハードウェアやソフトウェアを含め、企業 (または家族) のすべてのメンバーが使用する必要があります。効果的な MFA 実装には、次の 3 つの検証コンポーネントを含める必要があります。

1. ユーザー自身に関するもの: これは、指紋や顔認識ソフトウェアなどの生体認証セキュリティ プロトコルの一種です。
2. ユーザーが持っているもの: これは多くの場合、モバイル デバイスやタブレット デバイスに送信される SMS または通知内の OTP です。
3. ユーザーが知っているもの: これには、パスワード、パスフレーズ、およびユーザーのみが知っている個人的な質問に対する覚えやすい回答が含まれます。ここで重要な問題は、上記のいずれも簡単に推測できるものであってはならず、また、すでにオンライン上にある既存の情報（たとえば、ソーシャル メディア上）から導き出されたものであってはならないということです。覚えやすい適切な回答とパスフレーズについて詳しくは、パスフレーズに関するこちらの記事をお読みください。

2FA または 2 要素認証とは何ですか?

2 要素認証 (2FA、2 段階認証、またはデュアル ファクター認証とも呼ばれる) は、ユーザーが目的のシステムにアクセスする前に 2 種類の検証手順を必要とする多要素認証の一種です。

電子メール認証とは何ですか?

電子メール認証 (電子メール検証とも呼ばれる) は、偽の送信者から送信される電子メール (スプーフィングとも呼ばれる) を阻止することを目的とした一連の標準です。最も人気があり、最も安全な電子メール クライアントは、受信メールを検証するために、SPF (Sender Policy Framework)、DKIM (Domain Keys Identified Mail)、および DMARC (Domain-based Message Authentication, Reporting, and Conformance) の 3 つの異なる標準セットを使用する傾向があります。これらの標準は、@domain.com からのメッセージが実際に指定されたドメインからのものであるかどうかを確認します。

より正確に言うと、DMARC は「送信元」アドレスが実際に正当であり、正確に表示されていることを確認するために使用され、SPF はドメインからメールを送信することが許可されているサーバーを指定し、DKIM はメールにデジタル署名を追加して、受信メールサーバーが送信者をより簡単に確認できるようにします。

その結果、これらの標準により、電子メール クライアントは、詐欺師からのスパムやフィッシング メールをより簡単にフィルタリングしてブロックできるようになります。ただし、これらの標準はオプションであるため、小規模な電子メール クライアントでは実装されておらず、なりすましやオンライン偽造が多数発生しています。

メール認証の実装方法

最も人気のあるメール クライアントの多くでは、SPF、DKIM、DMARC 標準がソフトウェアの標準の一部としてすでに実装されています。クライアントで手動で設定する必要がある場合は、3 つの標準すべてについて DNS レコードを編集して追加する必要があります。幸いなことに、これは複雑な手順になる可能性があり、高度なコンピュータリテラシーを持つ人、または専任の IT プロフェッショナルが処理する必要があります。

ビジネスシステムでも個人システムでも、セキュリティをさらに強化するには、 Kaspersky の VPN接続ソフトウェアの使用をお勧めします。VPN を使用すると、暗号化されたデジタル トンネルを介して会社の資産やサーバーにリモートで接続できます。このトンネルは、移動中に公衆 Wi-Fi や安全でないインターネット接続の潜在的な危険からシステムを保護します。VPN の仕組みについて詳しく知りたい場合は、専用の記事をお読みください。

多要素認証方式は、悪意のある行為者やその他のオンラインの脅威による侵害から個人または職場のシステムを守る最善の方法の 1 つですが、100% 安全というわけではありません。進化し続けるサイバー犯罪の世界に対する最善の防御を提供する、包括的で受賞歴のあるサイバーセキュリティ システム（リモート アシスタンス、既存の脅威の除去、24 時間 365 日のサポートを含む）をお求めの場合は、今すぐカスペルスキー プレミアム をお試しください。

関連記事

• パスワードマネージャーとは？｜覚えられないPWを安全に管理する最良の方法
• スプーフィングとは何か？またそれを防ぐにはどうすればよいか？
• IPスプーフィングとスプーフィング攻撃
• VPN とは何ですか? どのように機能しますか?
• スパムメールを止めるにはどうすればいいですか?
• メールの暗号化と暗号化方法

推奨製品：

• カスペルスキー プレミアムアンチウイルス ソフトウェア
• カスペルスキー プレミアムアンチウイルス - 30日間無料試用版をダウンロード
• カスペルスキー VPN セキュアコネクション
• カスペルスキー パスワードマネージャー