放置してはダメな５アカウント

Googleが先日、2年間放置されている（利用されていない）アカウントを削除すると発表しました。
理由は、悪用される危険があるためとしています。

Googleが言うように、アカウントを放置することはとても危険なリスクが潜んでいます。

企業の公式SNSアカウントを作ったものの、担当者が退職してから、アカウントを放置していることはありませんか？
月日がたって、公式SNSアカウントのID・パスワードがわからず、ログインすらできないことはありませんか？

何者かに不正アクセスされ、企業の公式アカウントが乗っ取られる被害は少なくありません。

自治体公式Twitterアカウント乗っ取り被害

2022年2月に、福井県がブランド課の公式Twitterアカウント（認証付き）が何者かに不正アクセスされ、乗っ取られた可能性があると発表しました。
このアカウントは3年ほど前から運用しておらず、ログインもしていませんでした。
県が乗っ取りに気づいたのは、一般市民の「変なツイートが出ている」という一本の連絡でした。
この時、プロフィール画像は猿のようなイラストに変えられ、フォロワー数も1年前と比べ10倍以上の6.5万まで急増、そして、NFTに関するまったく無関係なツイートがされていました。
県は、Twitter社にアカウントの削除を申請し、ユーザーには当該ツイートにアクセスしないこと、フォローを解除するよう呼びかけました。
現在は、アカウントは削除され、二次被害は確認されていません。

企業のアカウント管理はもちろんですが、従業員個人のアカウント管理にも注意しなければなりません。

医療機関職員のインスタグラム乗っ取り被害

2023年1月、奈良県総合医療センター職員のインスタグラムが乗っ取り被害にあいました。
もともと、特定の人にしか見ることができない設定をして、勤務中に同僚職員と職場で撮った写真をインスタにあげていました。
しかし、何者かにインスタアカウントを乗っ取られ、その写真に他人の写真を追加するなどされの加工をされ、さらに、内容も事実と異なったものに改ざん受け、一般に公開されました。
これを受け、救急医療をはじめコロナ感染対応も担う医療センターでは、経緯や事実を公表し、謝罪をしました。

この他に、放置アカウントが犯罪行為に使われたケースもあります。

放置アカウントだけでなく、犯罪者はさまざまな手口を使い、アカウントに不正アクセスを試みます。
その被害は乗っ取り被害だけでなく、多岐にわたります。
このことから日頃からアカウント管理は非常に重要です。

放置アカウントはその名のとおり、ログインもせずただ放置した状態です。
これは、ただ悪用されるのを待っているといえます。
万一、不正アクセスをされても、放置しているため、それに気づくまでに時間がかかります。
気づくまでに、被害は拡大していき、大切な資産や重要な情報が流出してしまう可能性があります。

放置してはダメな５アカウント

では、放置すると大きなリスクになりかねないアカウントは、どのようなものがあるのでしょうか。

1．SNSアカウント

前述した事例のとおり、言わずもがなです。
不正アクセスした犯罪者は、SNSアカウントに紐づいたフォロワーなどをだまそうとするかもしれません。
では、どのような対策がとれるでしょうか。

・2段階認証を設定する
・不明なデバイスからのログインに関する通知を有効にする（通知を確認することをお忘れずに）

2．予備のメールアドレス

オンラインサービス利用で、メインのメールアドレスの他に予備のメールアドレスを設定する場合があります。
予備のメールアドレスにはオンラインサービスの通知がくるだけなので、あまり開くことはないかもしれません。
そのため、このメールアドレスアカウントに不正アクセスされても、長期間気づかない可能性があります。
では、どのような対策がとれるでしょうか。

・2段階認証を設定する
・予備のメールアカウントをメインメールに転送設定し、メインメールアカウント内に専用フォルダを作成

３．パスワードマネージャー

パスワードマネージャーを利用していて、別のパスワードマネージャーに乗り換える場合、注意が必要です。
新しいパスワードマネージャーにデータを移した後、古いパスワードマネージャーには登録済みのIDとパスワード（アカウント）情報が残ったままです。
このまま放置した場合、何者かに不正アクセスされれば、さまざまなアカウントに侵入することを許すことになり、パスワードマネージャー自体の運用にも注意が必要です。

なお、当社では自サーバに設置でき、特定の人との間だけで共有も可能な、「passbolt」というツールを使っています
（※後日記事にしたいと思います）。

４．オンラインストアのアカウント

多くのオンラインストアでは、クレジットカードなどの決済情報をアカウントに登録することを勧めています。
オンラインストアのアカウントには、決済情報以外にも住所や連絡先などの個人情報を登録していることも多いでしょう。
しかし、いつかそのオンラインストアを使わなくなるかもしれません。
そこに重要な情報を残し放置したまま、万一、オンラインストアが不正アクセスされた場合、被害を受ける可能性があります。
では、どのような対策がとれるでしょうか。

・クレジットカード情報をオンラインストアのアカウントに紐づけない。もしくは、紐づけるオンラインストアアカウントを厳選し、管理する
・カード情報を自動的に保存される場合、保存された情報を削除し、自動保存を解除する
・オンラインショッピング用に、限度額の低い別のカードを用意することを検討する

５．業務用のGoogleアカウント

業務でGoogleアナリティクスなどのサービスを利用する場合、Googleアカウントを新たに作成することが多いと思います。
その後、退職する時に業務用のGoogleアカウントを削除し忘れてしまうことがあるかもしれません。

一般的に会社で作成したアカウントは、利用者が退職すると担当部門がすぐに停止します。
片や、退職者が自分で作成したGoogleなどのアカウントは、その存在に気づくのことはなかなか難しいと思います。
結果、業務上の書類やその他機密情報にアクセスできる放置アカウントが存在することになり、不正アクセスの被害を受けるかもしれません。

では、どのような対策がとれるでしょうか。

・退職者側：退職する人に改めてとる対策はありません
・企業側：退職者が使っていたサービスとGoogleアカウントへのアクセス権をすべて無効にする

放置アカウント問題を防ぐには

企業にとっても個人にとっても、放置アカウントの存在はリスクがあります。
たとえ不要なアカウントだったとしても、乗っ取り被害にあうと多くの問題が発生するやもしれません。
まずは、所有するアカウントを把握することが始めましょう。

・お使いのオンラインサービスの洗い出し
・SNS、オンラインストア、銀行、その他重要なサービスのアカウントに紐づく電話番号とメールアドレスの洗い出し
　⇒使っていない電話番号やメールアドレスだった場合、紐づけを解除する

至極当然のことですが、事前の対策が最も効果的で、最も手軽です。
上記の５アカウントについてチェックし、未然に乗っ取り被害を食い止めましょう。