仮想通貨セキュリティ心得!不正ログインされた時の対処方法と防ぎ方

仮想通貨セキュリティ心得!不正ログインされた時の対処方法と防ぎ方

不正なIPアドレスからアクセスがあり驚いている女性のイラスト

みなさん仮想通貨(暗号通貨)取引所からくる、ログイン確認メール無視していませんか?

自分ではないIPアドレスからログインされていたら大変です。ということで今回は、セキュリティに無頓着な初級レベルの方向けに「不正ログインを防ぐ方法・不正ログインされた時にすべきこと」を考えてみました。

あわせて日頃の心がけである自分のIPアドレスを確認しチェックする方法も説明しましょう。

自分の大事なお金を盗まれない為に色々事前に気をつけておきましょう。はじめたばかりで「セキュリティ考えたことないかも」って方は是非ご覧いただき、ガードを強くしましょう。

それでは長文でげんなりしますが、どうぞっ!

スポンサーリンク
レクタングル(大)

ログイン確認メールって?

コインチェックから届いたログイン確認メール

仮想通貨取引所では、ログインした際にメールでログインIPアドレスが送られてきます(設定していない方はしましょう)。これが自分のIPアドレスであれば問題ないですが、違う場合は大問題です。不正ログインされて資産が盗まれてしまうかもしれません。

不正にログインされた時点で少し遅い気がせんでもないですが、早く気付くことにより被害を少なくすることができるかもしれません。

ということでログイン確認メールはきちんと確認し、知らないIPアドレスからのログインがないか、きちんとチェックするクセをつけましょう。そもそも「IP?」って方は下記リンクでお勉強しましょう。

リンク IPアドレスとは パソコン初心者講座

自分のIPアドレスの調べ方は簡単、ウェブサイトにアクセスするだけです。

自分のIPアドレス確認方法

確認君で表示した自分のグローバルIPアドレス

画像引用 確認くん

自分のIPアドレスの確認方法は、上記リンク「確認くん」にアクセスするだけです。(他にも確認できるウェブサイトはありますが、昔からこれ見てるw)

表示されたあなたのIPアドレス(例:xxx.xxx.xxx.xxx)部分が、あなたのグローバルIPアドレスです。ゲートウェイの名前が利用しているプロバイダです。

で、表示されたIPアドレスが取引所から来るログイン確認メールに記載のアドレスと一致していれば問題ありません(時間差がありすぎると違う場合あり、後述)。そのログインはあなたですので安心して下さい。

これがもし心当たりのないIPアドレスなどであれば、超速攻でパスワードを変更するなど対策する必要があります。もし見知らぬIPアドレスの場合は、どこからのアクセスか調べてみましょう。以下のサイトで確認できます。

リンク IPアドレス所在地検索 IP Geolocation Search

<スポンサーリンク>

ただしIPアドレスはかわる場合あり

それぞれのインターネット端末にIPアドレスが割り振られているイメージのイラスト

光ファイバーやケーブルテレビなどの固定回線IPアドレスは、基本的に頻繁にかわる物ではありませんが、固定IPアドレスではありません

同じIPアドレスが割り振られたままになる事が多いですが、サービス提供元の都合で別IPが割り振られる場合があります(提供元機器のトラブルや再起動とか)。さらにスマホは固定回線に比べてIPは変わりやすいはずです。

いつもと違うIPアドレスからアクセスがあっても、すべて不正アクセスなどではありませんので早とちりしないようにご注意を。自分のアクセスIPアドレスを確認するクセをつけましょう。

ちなみに海外取引所はこんなメールきます:Poloniexへ新しいIPからアクセスした場合

昨日、利用しているプロバイダで大規模トラブル(あのグーグルの件)が発生しました。その後ログインしたら以下のようなメールがポロニエックスからきました。(日本の取引所もきます)

差出人 From: Poloniex <do-not-reply@poloniex.com>
メールタイトル Successful Login from New IP
This email is to notify you of a successful login to your Poloniex account from an IP address not previously associated with this account.
Username/email: xxxxxxx@mail.co.jp
IP Address: xxx.xxx.xxx.xxx.
IP Country: JP
If you do not recognize this login, you should freeze your account immediately and contact support.
このメールは、以前にこのアカウントに関連付けられていなかったIPアドレスからPoloniexアカウントへのログインが成功したことを通知するものです。
ユーザー名/メールアドレス:xxxxxxx@mail.co.jp
IPアドレス:xxx.xxx.xxx.xxx
IP国:JP
このログインを認識できない場合は、すぐにアカウントを停止し、サポートに連絡してください。

新たにアクセスがあった、ユーザー名・IPアドレス・国がメールで届きます。IP国の部分が「Russia」や「China」とかになってたらチビりますね。

特にユーザー数の多い海外取引所とか狙われまくってそうだから、こんなメールきたら敏感に反応しますね。「んんっ?」と思い、速攻チェックしました(笑)

ようは、これまでアクセスしていたIPアドレスと変わってしまったのでメールが来たわけです。こうやってきちんと把握していれば理由もわかり安心ですね。

それじゃ、どんな時があやしいの?

IPアドレスの裏に潜むハッカーと、それを守る人

ログインIPアドレスを確認していて、不正アクセスの可能性が考えられるのは以下のような場合でしょうかね。ちょっと思いついたのを挙げてみます。

1.そもそも自分がログインしていない日時のログイン

自分がログインしていない日や時間帯に、ログイン確認メールが来たらまずそれはおかしいですね。自分以外の誰かがログインしている可能性があります。

あら? 思いついたのを挙げてみようと思いましたが、一つしか思いつきませんでした(笑)自分がログインしていない時間に「ログイン確認メール」がきたらマズい、って事です。

ただし、自宅のパソコンにログインしっぱなしで、家族がパソコン開いただけって可能性もあります。

<スポンサーリンク>

不正ログインを防ぐには

ハッカー集団のイラスト

それでは不正ログインされたらどう対処する? と行きたいところですが、ログインされたころには手遅れの可能性が高いです。

ということで不正ログインを防ぐ方法に重点を置きましょう。挙げればきりがないので以下2点、これだけは最低限守りましょう。

2段階認証(2FA)を設定する

これはどの取引所でも利用を推奨されていますので、2段階認証は必ず設定しましょう。2段階認証を設定することにより、万が一パスワードを解読され不正ログインされそうになっても、二段階認証コード(6桁の数字)によりログインを困難にします。

登録メールアドレスをGmailにしている方は、念の為Gmailログインも2段階認証を設定しましょう。(スマホ紛失・故障も考えてオフラインでバックアップコードかQRキャプチャを保管しましょう)

パスワードは最低でも30桁にしましょう

短くシンプルなパスワードはすぐに破られてしまいます。かけてるつもりでも全く意味がありません。仮想通貨となると自分の資産を守る砦はパスワードですので、最低でも30桁以上に設定しましょう。

ちなみに株式会社ディアイディさんがパスワード解読時間測定をされていますので、一部引用させて頂きます。短いパスワードを設定している方、おビビリ下さい。短いパスワードはたったこれだけの時間で突破されます。

4桁 6桁 8桁 10桁
英小文字 1秒以下 1秒以下 46秒 9時間
英(大小)+数字 1秒以下 13秒 13.5時間 6年
英(大小)+数字+記号 1秒以下 2分24秒 14日 341年

データ引用 セキュリティ調査レポート Vol.3/パスワードの最大解読時間測定 【暗号強度別】 | サービス | ディアイティ

これぞ秒殺ですね(笑)しかもこれ市販でちょい上くらいの一般的なパソコンです(Core i7,8GB,GeForce)。

性能がよいパソコンであれば、もっと短い時間で解析、突破することが可能です。なのでできるだけ長いパスワードで、英語の大文字小文字ミックス、記号ミックスにしましょう。小文字だけで10桁以下はアウトです。

シンプルなパスワードでは強度が下がりますので、思いつかない方はパスワード生成してみるのも一つです。以下リンクがセキュリティソフトのノートンを提供するシマンテック社のパスワード生成サイトです。

リンク 安全でセキュアなパスワードを作成 – パスワードジェネレータ | ノートン ID セーフ

そもそも取引所にはリスクがつきもの

取引所は不正にログインされて盗まれてしまう可能性も排除できません。さらには倒産してしまう可能性だってあります。

心配な方は、現時点で安全な保管方法と言われているハードウェアウォレットを検討してみるのもひとつです。

みなさん仮想通貨楽しんでいますか? 取引をしていくうちにコインが増え、安全な保管先を探している方も多いんじゃないでしょうか。 ...

不正ログインされた場合の対処方法

泥棒している瞬間の泥棒

「自分はログインしていない、さらにログイン場所もおかしい」という場合の不正ログインにあった時の対処方法を考えてみました。

仮想通貨の場合は不正ログインされた時点でアウトの可能性が高くなります。ご存じの通りビットコインなどを送金するのは一瞬で可能です。なのでログインされてしまえば、もう資産を失ったのと同じレベルに近いです。

それでも不正ログインが進行形で行われているような場合は、なにかしら手を打たなくちゃなりませんね。正しいかわかりませんが、もし自分が「不正ログインされたらこうするかな」ってのを6つほど思いついたので、書き出してみます。

不正ログインは2段階認証を設定していない場合がほとんどだと思います。2段階認証を設定していて突破された時点で涙目です。なので2段階認証してない前提で考えてみました。

1.ビットコインなど送金リクエストがあれば取り消す

これは取引所により異なるので違う場合もあるかもですが、ビットコインなどの出金リクエストを行ってもしばらくはキャンセルできる取引所があります。

なので速攻ログインして、出金リクエストがあれば、まずは出金リクエストをキャンセルします。不正出金をまず食い止めましょう。

2.2段階認証を設定し送金制限

お次にパスワード変更、と行きたいところですがそのまま2段階認証を設定します。そしてそのまま送金先設定(送金制限等)をし、特定のアドレスにしか送金できないようにします。

本来の不正ログインのセオリーでは強制ログアウト(ログイン中の全端末ログアウト)してからパスワード変更が一般的です。しかし、現在「coincheckZaifbitFlyer」にはその機能はないです(というかほぼないかも)。なので、不正にログインしたハッカーも同時にログインしている状態にあるはずなので、2段階認証が先かなと。

仮想通貨の場合はいかに保有するビットコインやアルトコインを送金させないかにかかっていると思います。なので送金制限が先でしょう。

3.パスワードの変更

送金制限までできたら、すぐにパスワード変更にとりかかります。先に述べたようになるべく複雑なパスワードへ変更します。ちんたら考えている暇はありませんので、とりあえず長いパスワードに一度変更し、落ち着いてからもう一度強度の高いパスワードに変更しましょう。

悪い人が同時にログインしている時にパスワード変更したら、どんな挙動になるのかまではさすがにわかりません。う~む。

4.メールアドレスの変更

通常一般的に取引所へのログインIDはメールアドレスになっている事が多いです。なのでログインメールも変更しましょう。不正ログインされたってことは、メールアドレスもばれています。

ただし「coincheckZaif」は管理画面から変更できますが、「bitFlyer」は運営に問い合わせフォームから連絡しないと変更することができません(この前変更しようとしたらできない事に気づきました)。

使用期間が長いパスワードは情報漏えいしている可能性もあります。なので、既存メールアドレスに変更する場合は、下記サイトで漏えいチェックをしておくと少し安心ですね。メールアドレスを入力し「pwned」をクリックするだけでチェックできます。

リンク Have I been pwned? Check if your email has been compromised in a data breach

5.不正アクセスを運営に連絡

不正ログイン=不正アクセスなので、運営に連絡します。対処が済んでいて被害が無ければ問い合わせフォームなどで連絡するのがよいかと思います。

通常電話問い合わせは受け付けていませんが、「不正アクセスなう」の時は電話しちゃうかも・・。ちなみに私が利用している国内3社のうちコインチェックとザイフに関しては特定商取引法のページに連絡先の記載がありました。ビットフライヤーはなし。う~む。

リンク 特定商取引法に基づく表示 | Coincheck(コインチェック)
リンク 特定商取引法に基づく表記 – Zaif Exchange
リンク 特定商取引法に基づく表示 – ビットコイン(Bitcoin)の購入/販売所/取引所【bitFlyer】

いわずもがなですが、些細な事で電話するのは厳禁です。ルールを守らない人がいると、ルールを守っている人の迷惑になりますので気をつけましょう。

基本の問い合わせ方法は「問い合わせフォーム」となっています。

6.ウイルス感染も考慮しウイルスチェック

ウイルスやマルウェアの感染も考えウイルス対策ソフトやマルウェア対策ソフトでフルスキャンしましょう。ウイルスいたら殲滅して下さい。

事後:不正ログイン元の特定

まぁどこから漏れたのか原因を特定しないと、また再発する可能性があるので調べれる範囲で調べます。なにをどう、ってのは今は難しいですが出来うる範囲で原因を考え調べるようにします。

事後:すでに被害がある場合は警察へ

ここから先は未体験ゾーンですが、すでに盗まれていたような場合は警察へ連絡しましょう。

合掌。

今日のまとめ

ということで、不正ログインを防ぐ方法として思いつくのはこんなところでしょうかね。

仮想通貨は不正ログインをいかに防ぐかが重要です。普段からソフトのインストールや、ファイルを開く場合のウイルス感染、怪しいページを見ないなど基本的な事もあわせて気をつけましょう

それではご安全に仮想通貨をお楽しみくださいませ。

「個人的にこんな感じかな?」ってのをまとめたので、微妙な部分もあるかもしれません。「それダメでしょ」などなどあればご教授いただければ幸いです。

スポンサーリンク
スポンサーリンク
レクタングル(大)
レクタングル(大)

シェアしていただけると、やる気がアップします!

下のボタンからフォローできます。

スポンサーリンク