ニコ動アカウント漏えいの可能性を受けて

「Microsoftアカウント」が不正アクセスされていないか確認する


さまざまなWebサービスなどで「アカウント」の漏えいが発生している。
「アカウント」が漏えいすると、それを悪用しようとする人たちが不正なアクセスを試みる。
簡単な「パスワード」だと、突破されてしまう危険性もある。
そこで、「Microsoftアカウント」で不正アクセスされていないかどうかを確認し、「パスワード」を変更、セキュリティを高めるために2段階認証を設定する方法を解説する。


Webサービスなどから「アカウント」の情報が漏えいすると、悪意のある人たちが不正なアクセスを試みようとする。
「Microsoftアカウント」では、新たなサインインなどを試みた場合、「アクティビティ」として記録される。
これを確認することで、不正なアクセスが発生していないかどうかが確認可能。

 KADOKAWAとドワンゴのサーバが攻撃され、情報漏えいが発生したようだ(ドワンゴのプレスリリース「当社サービスへのサイバー攻撃に関するご報告とお詫び -https://dwango.co.jp/news/5131439897051136/」)。
この稿執筆時点では、全容が明らかになっていないため、ドワンゴの動画サービス「ニコニコ」などの「ユーザーアカウント」が漏えいしたかどうかは不明。
ただ、どうもニコニコの「アカウント」として登録した「メールアドレス」に対して不正アクセスの試みがなされているようだ。

 なおドワンゴのX(旧Twitter)への投稿によると、「ニコニコアカウントのパスワードについては、システム内で暗号化されてから保存しており、仮に流出していたとしてもすぐに悪用される可能性は低いと考えております」ということだが、安心はできないだろう。


ニコニコ公式のX(旧Twitter)への投稿
ニコニコ公式がX(旧Twitter)に投稿した内容によると、
「パスワード」は暗号化されており、流出していた場合でも悪用される可能性は低いとしている。
ただし、万一のために同じ「メールアドレス」と「パスワード」の組み合わせを使っている、
別のサービスについては「パスワード」の変更が望ましいということ。


「Microsoftアカウント」の「アクティビティ」を確認する
  1. 「Microsoftアカウント」が不正にアクセスされていないかどうかを確認するには、まずWebブラウザで「Microsoftアカウント -https://account.microsoft.com/account?lang=ja-jp」ページを開き、確認したい「Microsoftアカウント」で「サインイン」する。

  2. 次に「Microsoftアカウント」ページを開いて、[セキュリティ]を展開し、[サインインアクティビティを表示する]をクリックする。

  3. 「いつどこでアカウントを使ったかご確認ください」画面が表示されるので、ここで「アクティビティ」を確認すればよい。

    「セッションの種類」欄で「正常にサインインしました」と表示された項目がある場合、自分が「サインイン」したものかどうかを確認すること。
    もし覚えのない「サインイン」であった場合は、「パスワード」が突破され、不正にアクセスされている可能性がある。

    一例として、
    「Microsoftアカウント」の「アクティビティ」を見ると、「米国」「ケニア」「モンテネグロ」「ブラジル」「スイス」などさまざまな国からのアクセスが試され、「サインイン」に失敗していることが分かる。


    Webブラウザで「Microsoftアカウント」ページを開き、[サインイン]ボタンをクリックする。












    「サインイン」した「Microsoftアカウント」に対する「アクティビティ」が表示される。
    画面のように覚えのない「アクティビティ」が大量に表示された場合は、
    「Microsoftアカウント」の情報が流出しており、不正なアクセスを試みられていることが分かる。

    「セッションの種類」欄が「サインインの失敗」となっている場合は、「サインイン」を試みたが、
    「パスワード」が間違っていて「サインイン」できなかったことを表している。

    「セッションの種類」欄で「自動同期」と表示されている項目は、これだけだと不正にアクセスされているのかどうかが分からないので、ここをクリックして展開する。
    すると、同期に成功しているかどうかが確認できる。

    もし、自分が同期を実行していないにもかかわらず、同期に成功していた場合、「メールアカウント」が盗まれてしまっているので、「覚えありませんか?」欄の[アカウントを保護する]リンクをクリックして、同期を停止してから、すぐに「パスワード」を変更するとよい。


    「セッションの種類」欄が「自動同期」と表示されている場合、「IMAP」などによるメールの自動同期が試されている。
    この場合、「自動同期」を展開しないと、同期に成功しているか失敗しているかが分からない。
    「接続」欄が「同期に失敗」となっていた場合は、不正アクセスに失敗している。
    もし、覚えがない「自動同期」が成功していた場合は、
    [アカウントを保護する]をクリックして、同期を停止し、「パスワード」を変更するなどの対策が必要になる。


「Microsoftアカウント」の「パスワード」を変更する

 「Microsoftアカウント」に覚えのない「サインイン」が見つかった場合は、すぐに「パスワード」を変更しよう。
また、大量の覚えのないアクセスがあった場合も、念のため「パスワード」をより複雑なものに変更して、安全性を高めておいた方がよい。

 それには、「Microsoftアカウント」ページの「セキュリティ」欄で[パスワードを変更する]をクリックして、表示された「Microsoftアカウント」の「パスワード」入力画面で「パスワード」を入力して「サインイン」する。
この際、「パスワード」が盗まれて、変更されてしまったような場合は、[パスワードを忘れた場合]リンクをクリックして、別の認証方法(本人確認)でサインインする。

 サインインすると「パスワードの変更」画面が開くので、ここで現在の「パスワード」と新しい「パスワード」を入力して、[保存]ボタンをクリックする。
「パスワード」を変更すると、「Microsoftアカウント」で「サインイン」している他のサービスにおいても、新しい「パスワード」による再「サインイン」が要求される。














「Microsoftアカウント」ページに戻るために、再び「パスワード」の入力が求められる。
この際に入力するのは、新しい「パスワード」となる。

 再設定する「パスワード」は、他のWebサービスなどで使用していないものにする。
同じ「メールアドレス」と「パスワード」の組み合わせだと、そのWebサービスから情報が漏えいした場合に、「Microsoftアカウント」に不正アクセスされてしまう可能性がある。
サービス名の短縮形を「パスワード」の途中に含めるなど工夫して、Webサービスごとに異なるが、覚えていられる「パスワード」を生成するとよいだろう。


「Microsoftアカウント」の2段階認証を有効化する

 「アカウント」のセキュリティを高めるには、「パスワード」を複雑にするだけでなく、2段階認証(多要素認証)を有効にし、新しいデバイスやWebブラウザからのアクセスの際に、スマートフォンなどの別デバイスによる認証を必要とするようにしておくとよい。
万一、「パスワード」による認証が突破されても、スマートフォンで認証しなければアクセスができないし、認証が求められることで「アカウント」に不正アクセスがあったことが即座に分かるようになる。

 「Microsoftアカウント」で2段階認証を有効にするには
  1. 「Microsoftアカウント」ページの「セキュリティ」欄で[追加のセキュリティオプション]をクリックして、「セキュリティ」画面を開き、「2段階認証」の[管理]をクリックして設定する。

  2. 「2段階認証のセットアップ」画面に切り替わるので、ここで[次へ]ボタンをクリックする。

  3. スマートフォンに「Microsoft Authenticator」アプリをインストールすることが求められるので、インストールしていない場合は「Google Playストア」や「App Store」から「Microsoft Authenticator」アプリをインストールする。

    なお、「Microsoft Authenticator」アプリでなくても、「Google Authenticator -https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=ja」や「Authy -https://authy.com/」など、別の認証アプリがインストール済みの場合は、それらでも構わない。

  4. スマートフォンに認証アプリがインストールできたら、「Microsoft Authenticatorアプリを設定します」画面の[別の認証アプリを設定します]リンクをクリックする。

  5. 「認証アプリの設定」画面に切り替わり、QRコードが表示されるので、このQRコードを認証アプリで読み取って、「Microsoftアカウント」を認証アプリに追加する。

  6. 認証アプリに「Microsoftアカウント」が追加されたら、その「アカウント名」をタップして、「ワンタイムパスワードコード」を表示し、そこに表示された6桁の数字を「アプリによって生成されたコード」欄に入力する。

    「ワンタイプパスワードコード」は30秒で変わってしまうので、素早く入力して[次へ]ボタンをクリックすること。

  7. これで2段階認証が有効化できる。














    スマートフォンに認証アプリをインストールしてから、[別の認証アプリを設定します]をクリックする。
    「Microsoft Authenticator」アプリを使う場合も、[別の認証アプリを設定します]をクリックして設定した方が楽。




    設定用のQRコードが表示されるので、スマートフォンの認証アプリでQRコードを読み込む。
    認証アプリに「Microsoftアカウント」が追加されるので、これをタップして「ワンタイムパスワード」を表示、
    その「ワンタイムパスワード」を「アプリによって生成されたコード」欄に入力する。




    2段階認証が「オン」になる。
    2段階認証を有効化すると、
    既に「Microsoftアカウント」でサインインしている、他のデバイスでも認証が求められるので注意。




    2段階認証を有効化すると、
    このように新しいデバイスで「サインイン」した際に認証アプリなどでの承認が求められるようになる。