- 投稿日:2024/02/13
- 更新日:2025/11/05
■不正アクセスを招くのはうっかりミス
学長おすすめのパスワード管理アプリ「1Password」は不正アクセスされにくいシステムとセキュリティに守られています。
1Passwordに不正アクセスするには、マスターパスワードとは別にシークレットキー(34桁の文字と数字)も入力しなくてはならない 1Passwordに保存したデータは全て暗号化され、1Password社側も分からない仕組みになっている(漏洩防止)
1Passwordの詳細なセキュリティについては公式サイトをご覧ください。
つまり、ユーザー側はマスターパスワードを入力するだけでいいのに対して、不正アクセス者には複雑な二重認証が必要になります。
【ITリテラシー向上マニュアル】【1Password】パソコンのセキュリティ対策におすすめ!パスワード管理をするためのツール
現状不正アクセスを招いてしまうのはユーザーである私たち自身のうっかりミスというのが最も可能性が高いといえるでしょう。
では、どんなうっかりミスが考えられるでしょうか?私から以下の二点とその対策をご紹介します。
・うっかりミス1 フィッシングサイトにひっかかる
・うっかりミス2 エマージェンシーキットを人に見られる
一つずつ紹介します。
□うっかりミス1(フィッシングサイトにひっかかる)
フィッシングとは、実在のサービスや企業をかたり、偽のメールやSMSで偽サイトに誘導し、IDやパスワードなどの情報を盗んだり、マルウェアに感染させたりする手口です(警視庁Webサイトより)
メールやSMSに限らず、最近では、Google検索のトップに偽サイト(フィッシングサイト)が出てきてしまうことも起きているようです(Xより参考)
もし1Passwordにそっくりのサイトに気づかずに、ついうっかりログインに必要な情報(メールアドレス、シークレットキー、マスターパスワード)を入力してしまえば、見知らぬ相手に1Passwordに登録したすべての情報を奪われることになりかねません。
☑対策① URLを確認する
フィッシングサイトに引っかからないためには、偽サイトを見破る力が必要です。そのためにも、URL(Webサイトのアドレス)が正しいかを確認しましょう。
巧妙な場合は一目見ただけでは気付きにくいように偽装されている場合があるので注意深く確認します。
☑対策② メールやSMSの送信元を確認する
メールやSMSに貼られたリンクからWebサイトに誘導される場合、偽の送信元を見破ることが必要です。メールアドレスのドメイン名も巧妙に擬態している場合があります。
もし送信元の確証が得られない場合は、そのメールやSMSに書かれたサイトにはアクセスしないようにしましょう。
☑対策③ 1Passwordからサイトを開く
1Password では、パスワード等を登録する際にURLも登録することができます。
入力フォームに自動入力するために使っている方も多いのではないかと思いますが、URL登録の真価はそれだけではありません。
一度自分で確認したURLを登録しておけば、その後はアプリからタップするだけでそのサイトを開くことができるのです。一度自分で確認したURLなので、何度でも安心してアクセスできます(学長マガジン参考)
1Passwordの代わりにブラウザのブックマーク(お気に入り)に登録しておいてもよいでしょう。
□うっかりミス2(エマージェンシーキットを人に見られる)
エマージェンシーキットには、1Passwordに登録したメールアドレスとシークレットキーが記載されており、マスターパスワードの記入欄もあります。
その保管をおろそかにすると、1Passwordにログインできる情報を他人に見られたり、複製されるなどして情報を盗まれてしまう可能性が高まります。
☑対策① エマージェンシーキットにマスターパスワードを直接書かない
まず、エマージェンシーキットには自分にだけわかるマスターパスワードのヒントを書いておくとよいでしょう。マスターパスワードをそのまま書くのはお勧めしません。
なぜなら、いくら厳重に保管しても何らかの理由で突破されてしまえはそれだけで不正アクセス可能となってしまうからです。
逆に言えば、エマージェンシーキットだけ盗まれたとしてもマスターパスワードがわからなければ、不正アクセスは防ぐことができます。
※もし1Passwordによるパスワードの相続を考えているのなら、自分だけでなく家族もわかるヒントにしておくなどの工夫をするとよいでしょう
☑対策② 最小限の場所に限られた数だけ置く(データでも紙でも!)
エマージェンシーキットは、次のようなに保管する方がほとんどと思われます。
・PDFデータとして保管する人
・エマージェンシーキットの中身だけをテキストデータとして保管する人
・紙に印刷して保管する人
いずれの場合でも、複数の場所にコピーして置いておくのことはやめ、限られた場所に、限られた数だけ保管するようにしましょう。
現代は電子データも紙に印刷したものもいくらでも複製が可能ですが、自分で管理しきれないほど複製してしまい、それがいたるところに散らばってしまっては、いつどこから情報が漏れ出したとしても気づくことができなくなってしまいます。
限られた場所に、限られた数だけ。それ以外は消去(紙なら細かく切って処分)しましょう。
■不正アクセスに気づくには?
1Passwordに新しいデバイス又はブラウザからログイン(サインイン)があると、登録メールアドレスに通知が来ます。
ログイン通知メールが来たタイミングやデバイスまたはブラウザに心当たりがない場合は不正アクセスが疑われます。
■不正アクセスが疑われる場合の対策は?
次の4つが考えられます。
① マスターパスワードを変更する(すぐに!)
② シークレットキーを変更する(すぐに!)
③ 疑わしいデバイス・ブラウザの認証を解除する
④ 登録したパスワードをすべて変更する
一つずつ見ていきましょう。
☑対策① マスターパスワードを変更する(すぐに!)
マスターパスワードを変更してこれ以上の不正ログインをストップさせましょう。
不正アクセスの相手にマスターパスワードやシークレットキーを変更されてしまうと手の施しようがなくなってしまうため、素早く対応しましょう。
方法を説明します。
(1)ブラウザで1PasswordのWebサイトにアクセスする
(2) 右上の「≡」を押して
(3)下部の「ログイン」を押す
(4)メールアドレス、シークレットキー、マスターパスワードを入力してログインする
(5)ログイン後の画面右上の「≡」を押す
(6)出現した名前アイコンや「V」アイコンの部分を押す
(7)出現した「マイプロファイル」を押す
(8)画面上の「パスワードを変更」を押し…
(9)現在のマスターパスワードと新しいマスターパスワードを入力し…
※不正アクセスされている可能性のある状況下では、新しいマスターパスワードは1Passwordに記憶 "させない" でおきましょう。
(10)「パスワードを変更」を押す
これで、マスターパスワードを変更できました。
ですが、まだ気を抜けません。
☑対策② シークレットキーを変更する(すぐに!)
不正利用された可能性のあるシークレットキーは、もうシークレット(秘密)ではなくなってしまったので使えません。新しいシークレットキーを生成しましょう。
(1)ブラウザで1Passwordにログインし「マイプロファイル」に行く(※対策①の(1)~(7)を参照ください)
(2)「Secret Keyの再生成」を押す
(3)先ほど変更したマスターパスワードを入力し、「Secret Keyの再生成」を押す
(4)新しいシークレットキーが含まれるエマージェンシーキットが生成されるので、「Download」を押してダウンロードする
(5)エマージェンシーキットを適切な方法で保管する
これで、マスターパスワードとシークレットキーを変更しました。
シークレットキーを変更すると、多くの場合、デバイスやブラウザごとに再度シークレットキーを入力してのログインが必要となるため、不正アクセスの相手は何もできなるなる可能性が高まります。
☑対策③ 疑わしいデバイス・ブラウザの認証を解除する
1Passwordは、ログインに使用されたデバイスやブラウザを「信頼できるデバイスとブラウザ」として認証しています。不正利用された疑いのあるデバイス・ブラウザが残っていれば、すべて認証を解除しましょう。
(1)ブラウザで1Passwordにログインし「マイプロファイル」に行く(※対策①の(1)~(7)を参照ください)
(2)画面下の方に行くと、「信頼できるデバイスとブラウザ」が現れる
(3)不正利用に使用された疑いのあるデバイス・ブラウザを見つけ出し、横の歯車マークを押す
(4)「デバイスの認証を解除」を押し、認証を解除する
(5)確実に自分のものだと判断できるデバイス・ブラウザ以外すべての認証を解除するまで繰り返す
☑対策④ 登録したパスワードをすべて変更する
自分の中で優先順位をつけて、優先度の高いサービスから順にパスワード変更を行いましょう。
「そんなこと要るの?」という声も聞こえそうですが、不正アクセスされた時点で、保存していたすべての情報が相手に渡ってしまったと考えて対応した方が無難です。
なぜなら、パソコン用の1Passwordソフトを使えば1Passwordに保存されているすべてのデータを一気にエクスポートすることが可能だからです。
だからこそ、対策①では変更後のマスターパスワードを1Passwordに記憶”させない”必要がありました。
個人的に優先度が高いと考えているサービスを例として挙げます。
・Googleなど、他のサービスに登録しているメールアドレスに関連するサービス
・証券口座、銀行口座などの資産に関連するサービス
・クレジットカードなどの信用情報に関連するサービス
・ネットショッピングに関連するサービス
・実名で使用しているSNSなどの社会的信用に関わるサービス
なお、1Passwordではパスワードの自動生成はしてくれますが、パスワード変更まではしてくれません。各サービスの公式サイトやアプリなどから一つ一つ変更手続きをしましょう。あきらめないで!
さいごに
大変便利で頼れる1Password。自分自身のミスで不正アクセスを招いてしまうと、こんなに面倒な対応に追われることになります。
不正利用されないことが第一です。
エマージェンシーキットの保管は適切に。
以上、参考になれば嬉しいです。
