お客様のメールが漏洩防止を確認する方法

データ侵害は、インターネット上でメールアドレスが漏洩防止される最も一般的な原因です。これにより、オンラインフォーラムやダークウェブ、その他の公共の場にメールアドレスが流出する可能性があります。 2022年のIBMのレポート(新しいウィンドウ)によると、侵害を特定して封じ込めるまでに平均277日かかるとされており、攻撃者がお客様の個人情報を入手してからお客様がそれに気づくまでに9か月かかる可能性があることを意味します。これは、お客様のオンライン上のプライバシーとセキュリティに対する深刻な脅威となります。

メールの漏洩防止による影響を最小限に抑える唯一の方法は、お客様の個人情報が侵害されていないか定期的に確認することです。この記事では、メールが漏洩防止されているかを確認する方法と、その対処法を表示します。

• メールが漏洩防止された場合、何が起こりますか？ 
• メールの漏洩防止を確認する方法
• メールの漏洩防止から身を守る方法
• 安全なメールプロバイダーを選択する

メールが漏洩防止された場合、何が起こりますか？

データ侵害で流出した個人情報は常にダークウェブに出回っており、被害者に多くの問題を引き起こします。サイバー犯罪者がお客様のメールとパスワードを入手した場合に起こり得ることは以下の通りです。

迷惑メールやフィッシングメールの増加

メールが漏洩防止されたことを示す最大の兆候の1つは、受信トレイへの迷惑メールやフィッシングメールの急増です。ほとんどの迷惑メールは単に不快なだけですが、フィッシングメールはより危険です。フィッシング詐欺師は、クレジットカード会社や医療機関などの正当な差出人を装い、お客様を騙して個人情報を聞き出そうとします。

もう1つの一般的な手口は、お客様の情報を漏洩防止させたサービスを装うことです。例えば、Twitterは2022年末に2億件以上のメールを漏洩防止(新しいウィンドウ)させており、攻撃者がサービスからの正当なメールに見せかけるために必要なすべての情報を含めることは非常に容易です。ここでは、認証済みアカウントを持つTwitterユーザーを標的とした「スピアフィッシング」攻撃の例を確認できます。

https://twitter.com/zackwhittaker/status/1587188619000922112?s=20

幸いなことに、通常は少しの常識を働かせるだけでフィッシング詐欺から身を守ることができます。不自然な表現に注意し、メッセージを送信した人物のメールアドレスを注意深く確認し、別のチャンネルを通じてそのメールが正当なものであるかを確認してください。

メールがフィッシングの試みであると疑われる場合は、リンクや添付ファイルを開かずに、すぐにメールプロバイダーに報告してください。

アカウント乗っ取り攻撃

データ侵害によってメールのパスワードも漏洩防止された場合、ハッカーはアカウント乗っ取り攻撃によってお客様のメールアカウントを支配する可能性があります。多くの場合、ハッカーは受信トレイ内の情報を使用して、オンラインバンキングやソーシャルメディアアカウントなど、他のより機密性の高いアカウントにアクセスします。お客様のメールを使って脅迫したり、アカウントへのアクセス権を取り戻すために身代金の支払いを要求したりすることさえあります。

ユーザー情報の盗難

メールの漏洩防止によって起こり得るもう1つの結果は、ユーザー情報の盗難です。ユーザー情報の盗難は、ハッカーがお客様の個人情報を悪用して、他の人々や組織に自分を本人だと思い込ませることで発生します。ハッカーは以下のような行為に及ぶ可能性があります。

• お客様の名前で新しいサブスクリプションや契約にサインアップする
• お客様の詳細情報を使用して、新しいクレジットカード、ローン、銀行アカウントを申し込む
• 不正な購入を行う 
• お客様になりすまし、友人や家族に金銭を要求する
• お客様の詳細情報を使用して犯罪を犯す

ユーザー情報の盗難は壊滅的な結果を招きます。お客様のキャリアや評判に深刻な損害を与え、犯罪歴がついてしまうことさえあります。

メールの漏洩防止を確認する方法

データ侵害がいかに一般的であるかを考えると、メールが漏洩防止された兆候を定期的に監視することが極めて重要です。これを行う優れた方法は、ウェブセキュリティコンサルタントのTroy Hunt氏が、個人情報が侵害されていないかを確認できるように設計したウェブサイトであるHave I Been Pwned (HIBP) データベース(新しいウィンドウ)でお客様のメールアドレスを検索することです。HIBPでは、メールアドレス、電話番号、パスワードを検索できます。

お客様のメールアドレスや電話番号を検索するには：

1. Have I Been Pwnedのウェブサイト(新しいウィンドウ)にアクセスします。
2. 検索バーにメールアドレスまたは電話番号を入力し、pwned?をクリックしてください。

パスワードを検索するには：

1. Have I Been Pwnedのウェブサイト(新しいウィンドウ)にアクセスします。

3. トップナビゲーションメニューにあるpasswords（パスワード）をクリックしてください。
4. 検索バーにパスワードを入力し、pwned?をクリックしてください。

結果の解釈方法

メールアドレスと電話番号が侵害されていない場合は、次のメッセージが表示されます。

一方で、情報が漏洩したことが判明した場合は、代わりに次のメッセージが表示されます。

メール漏洩の被害に遭ったことが判明した場合は、直ちにお客様自身を保護するために次の手順を実行してください。

メール漏洩から身を守る方法

パスワードを変更する

メールの漏洩を発見した後に最初に行うべきことは、影響を受けたアカウントのパスワードを変更することです。これは、すべてのアカウントで強力でユニークなパスワードを使用していることを前提としています。複数のアカウントで同じパスワードを使用しており、そのうちの1つのアカウントが漏洩または影響を受けた場合は、そのパスワードを使用していたすべての場所でパスワードを変更する必要があります。パスワードを再利用すべきではない理由は他にもあります。パスワードの再利用は、侵害からの回復をより困難にするためです。

複数の強力でユニークなパスワードを覚えやすくするために、オープンソースのパスワードマネージャーを使用することをお勧めします。

パスワードマネージャーは、オンラインアカウントごとに複雑なパスワードを自動的に生成して保存するため、ハッカーによる解読を困難にします。お客様が行う必要があるのは、パスワードマネージャーにサインインするためのマスターパスワードを1つ覚えておくことだけです。

2要素認証を有効にする

オンラインアカウントのメールアドレスやパスワードを変更する際には、可能な限り2要素認証 (2FA)も有効にする必要があります。2要素認証を使用すると、サインイン時にパスワードに加えて追加の検証が必要になるため、不正アクセスからアカウントを保護できます。これは通常、セキュリティキーやモバイルデバイスなどのお客様が所有しているもの、または顔認証やフィンガープリントなどのお客様自身に関するものです。

セキュリティキー（2FAキーやハードウェアキー、例えばYubiKeys(新しいウィンドウ)などとも呼ばれます）は、最も安全な2要素認証形式の1つです。モバイルデバイスにインストールされた認証アプリによって生成されるワンタイムコードとは異なり、セキュリティキーはスプーフィング（なりすまし）ができず、有効期限もなく、モバイルデバイスへのアクセスも必要ありません。USBキーであるため、キーリングに簡単に追加してどこへでも持ち運ぶことができます。残念ながら、すべてのサービスがセキュリティキーをサポートしているわけではありません。

連絡先に通知する

お客様のメールアドレスを使用した（または使用しているように見える）フィッシング詐欺に連絡先が騙されないよう、お客様から送信されたように見える不審なメールが届く可能性があることを連絡先に伝えておく必要があります。

漏洩が発生する前にメールアカウントで2要素認証を有効にしており、ハッカーがお客様の認証アプリやセキュリティキーにアクセスしていないと確信できる場合は、この手順をスキップできます。

銀行やクレジットカードの明細を精査する

心当たりのない請求、高額な購入、さらには請求先住所の変更など、異常なアクティビティがないか、銀行やクレジットカードの明細も確認する必要があります。犯罪者が大きな取引を試みる前に、1ドルや2ドルの少額の「テスト支払い」を行うこともあります。

不審なアクティビティを発見した場合は、直ちに銀行やクレジットカード会社に報告してください。通常、銀行やクレジットカード会社は古いアカウントを閉じて、新しい銀行口座やクレジットカードを提供します。

メールエイリアスを使用する

メールエイリアスを使用することは、特にメール漏洩の後にオンラインプライバシーを保護するための有用な戦略です。メールエイリアスを使用することで、プライマリーメールアドレスをプライベートに保ち、オンラインで提供する個人情報の量を制限できます。メールエイリアスを作成するには、2つの方法があります。

• プラス記号（+）を追加する方法：ユーザー名に「+（任意の文字列）」を追加します。たとえば、お客様のメールアドレスが bobsmith@proton.me の場合、メールエイリアスは bobsmith+finances@proton.me のようになります。これは「サブアドレス」として知られています。 
• 異なるユーザー名で新しいメールエイリアスを作成する方法：異なるオンラインアカウント向けに、まったく新しいメールエイリアスを作成できます。

注意：すべてのメールプロバイダーがこれらの機能をサポートしているわけではありません。Proton Mailはサポートしており、また「+」を使用したエイリアスを無料で提供しています。

便利で実用的ですが、攻撃者はサブアドレスからお客様の本当のメールアドレスを簡単に抽出して、迷惑メールキャンペーンに利用する可能性があります。サブアドレスを使用する必要がある場合は、本名が含まれていないことを確認してください。

一意のメールエイリアスを自動生成する

新しいメールエイリアスを作成するより良い方法は、個別に設定することです。しかし、日々利用するオンラインアカウントの数を考えると、そのすべてに対して手動で新しいメールエイリアスを作成することは不可能です。また、それほど多くの受信トレイを整理・管理することは、運用上の大きな負担となります。

そのため、これらのアドレスを生成するには、SimpleLogin by Proton(新しいウィンドウ) などのオープンソースのメールエイリアスサービスを使用することをお勧めします。SimpleLoginは、オンラインアカウントにサインアップする際に、いつでも匿名のメールアドレスを提供する ブラウザ拡張機能、ウェブアプリ、およびモバイルアプリ です。エイリアスに送信されたメールは、即座にお客様の受信トレイに転送されます。

SimpleLoginを使用すると、独自のカスタムエイリアスを作成したり、ソフトウェアにランダムなエイリアスを自動生成させたりできます。エイリアスが不要になった場合は、簡単に削除することができます。

不審なリンクや添付ファイルを開かない

攻撃者は、フィッシングメールを使用して、詐欺的なウェブサイトでお客様の個人情報を開示させたり、お客様のコンピューターにマルウェアをインストール(新しいウィンドウ)させたりしようとします。安全を保つために、信頼できる差出人からのメールと添付ファイルのみを開き、至急の対応を促すメール（すぐにお金を送るように要求するなど）には注意を払うのが最善です。

不審な場合は、公式ヘルプラインに電話するなど別の方法で差出人に連絡し、メールを送信したかどうか確認を求めてください。フィッシングメールであることが確実な場合は、すぐにメールプロバイダーに報告してください。

メールアドレスの漏洩を定期的に監視する

メール漏洩の可能性を注意深く見守ることは、お客様の個人情報とオンライン上のユーザー情報を保護する上で大きな助けとなります。定期的な監視により、異常なアクティビティやセキュリティインシデントを迅速に検出し、対応することができます。

HIBPの「Notify me」機能を使用して、データ侵害でお客様の個人詳細が侵害された場合に通知を受け取ることもできます。

1. Have I Been Pwnedのウェブサイト(新しいウィンドウ)にアクセスします
2. 上部ナビゲーションメニューにあるNotify meをクリックします
3. メールアドレスを入力し、notify me of pwnageを選択します

あるいは、HIBPの Twitterアカウント(新しいウィンドウ)をフォローして、最新のデータ侵害を追跡することも可能です。1Passwordなどのプレミアムパスワードマネージャーをお使いの場合は、1Passwordが定期的にHIBPデータベースを検索し、お客様のログイン詳細が見つかった場合に通知する自動漏洩検出の更新をセットアップすることもできます。

安全なメールプロバイダーを選択する

メールプロバイダーも、受信トレイへの不正アクセスを防ぐ上で重要な役割を果たします。ハッキング、フィッシング、マルウェアなどのサイバー脅威からお客様のメールアカウントを保護する、堅牢なセキュリティ対策を実施する責任があります。

世界最大の暗号化済みメールプロバイダーとして、Protonの最優先事項はお客様のオンラインプライバシーを保護し、お客様自身でデータをコントロールできるようにすることです。Proton Mailをご利用いただくと、以下のセキュリティ機能をご利用いただけます。

• エンドツーエンド暗号化：お客様と指定した宛先以外は誰もメッセージを読むことができません。 
• ゼロアクセス暗号化：弊社のサーバーに保管されているすべてのデータは完全に暗号化されています。ハッカーがサーバーを侵害したとしても、お客様のメールを読むことはできません。
• 追加のメールエイリアス：Proton Mailの有料プランをご利用の場合は、少なくとも10個の追加メールエイリアスを作成できます。エイリアスに送信されたすべてのメールは、通常通りお客様の受信トレイに届きます。
• 不審なアクティビティをブロック：Proton Mailのセキュリティシステムが、受信トレイへのハッキングの試みなどの不審な挙動を検知した場合、一時的にお客様のアカウントをロックします。検証コード（お客様の回復用メールアドレスまたは電話番号にのみ送信されます）でユーザー情報を証明すると、アカウントのロックが解除されます。
• セキュリティログを確認する：Proton Mailアカウント設定では、セキュリティログを確認し、アクティブなセッションへのアクセス権を失効させることができます。また、セキュリティログの各イベントのIPアドレスを記録する高度なログを有効にすることも可能です。
• 強力な迷惑メールフィルター：弊社のスマートな迷惑メール検知システムは、迷惑メールを自動的に検知して迷惑メールフォルダーに振り分けます。より詳細に管理したい場合は、ブロックリストにメールアドレスを追加したり、リストから削除したりすることも可能です。
• 2要素認証（2FA）とセキュリティキー：2要素認証を使用して、Proton Mailアカウントを保護できます。弊社では、認証アプリによって生成される一時コード、YubiKey、およびその他のU2F/FIDO2準拠のキーをサポートしています。 
• フィッシング保護：フィッシング対策に特化して設計された一連の高度な機能であるPhishGuardにより、フィッシング保護を提供します。
• カスタムドメインのスプーフィング対策：カスタムドメインに対するスプーフィング攻撃からお客様を保護するため、SPF、DKIM、およびDMARCをサポートしています。 

メールの漏洩を監視し、強力なパスワードを設定し、Proton Mailが提供するセキュリティ機能を活用することで、メール漏洩のリスクを軽減し、サイバー脅威から個人データを安全に守ることができます。

より良く、よりプライベートなインターネットを構築するという弊社のミッションをサポートしていただける場合は、ぜひ無料のProton Mailアカウントへのサインアップをご検討ください。