Xアカウントを安全に守る12のルール - Vladimir S.

Vladimir S. (@officer_cia)のセキュリティコラム「How Can I Protect My X Account? 12 Simple Rules」（どうすればXアカウントを守れるか？12のシンプルなルール）の日本語訳です。ブログ記事翻訳部分に関するすべての権利は原作者に帰属します。

2021年には、赤外線ダイオードや様々な波長のレンズを用いて監視カメラから身を隠す帽子を開発していたそうです。

本文

「Xアカウントをどのように守るべきか？」インターネット上には多くのガイドがあるが、難解な内容が多く、一般の人にはわかりにくいものばかりだ。

そこで、私からのシンプルなルールをリスト形式で紹介する：

ルール1. まず最初に、使わない場合は「委任（デリゲーション）」機能を無効にすること！

ルール2. パスワードリセット保護を有効にすること

これは非常に重要だ。

ルール3. 2FA（Two-Factor Authentication、二要素認証）を設定すること

AuthyやAegisなどのサービスを利用するのが良い。Google Authenticatorは、Googleのエコシステムを避けるため最近は推奨されないことが多い。Authyは堅牢なアカウント復旧機能を提供しており、Aegisは復旧機能を提供しないが、オープンソース（GPL v3ライセンス）であり、ソースコードが公開されている。Authyを使用する場合は、電話番号に依存する点が問題だ。メールリクエストで番号を変更できるため、約4日後にHOTP/TOTPにアクセスされる可能性がある。これを防ぐためには、Authyの設定で「マルチデバイス機能」を無効にするべきだ。

2FAアプリで生成されるコードは、デバイス固有であることを忘れてはならない。もしあなたのアカウントをGoogle CloudやiCloudにバックアップしていない場合、デバイスを紛失すると、本人確認に時間がかかる可能性があるが、その手間をかけるだけ価値があるセキュリティだ。

ハードウェアベースの2FAオプション（例: YubiKey）は、スマホベースのOTPより安全とされている。キーはYubiKeyデバイス上に保存され、クラウドやコンピュータ上には保存されないからだ。

ルール4. ユニークな登録用メールアドレスを使うこと

ニックネームやユーザー名を含まないものを使おう。エイリアス機能を使えば、メールアドレスを隠すことができる。

ルール5. メールのエイリアス機能を有効活用すること

Gmailは「+」以降の文字列を無視するため、「[email protected]」のような形式が利用できる。同様に、iCloudも「プライバシーメール」という機能を提供している。こうすることにより、メールアドレスが漏洩した場合に、どこから漏れたのか追跡することが可能になる。ピリオドも同様にGmailアドレスで使えるが、「+」ほどわかりやすくはない。

ルール6. SIMカードのロックを行うこと

SIMを保護するためには、モバイルキャリアに連絡を取ることが必要だ。この方法は、米国、英国、ポーランド、中国の通信事業者で実績がある。参考になるツイートや記事も確認してみてほしい。サポート担当者がこの手続きについて詳しく知らない場合もあるため、根気よく主張するか、本社を訪れるのが良い。

キャリアには、「特定の店舗に直接訪問し、最低2つの身分証明書を提示しない限り、電話番号やSIMの変更を絶対に行わない」よう依頼する。この対策により、ハッカーがあなたになりすまして通信事業者に連絡し、新しい電話番号へ移行するリスクを防ぐことができる。IDによる個人認証は突破されたこともあるため、スタッフに対して、セカンダリ番号への電話確認を要求するのも有効だ。万が一、本人確認書類が悪用された場合でもリスクを軽減できる。また、Efaniのようなセキュリティ重視のサービスを利用するか、e-simのみを使用することで、さらなる安全性を確保することも可能だ。

ルール7. SMSによる2FAを無効にすること

他のガイドではよくXの設定から電話番号を削除するよう推奨されることがあるが、私はそれを求めるつもりはない。ただし、SMSによる2FAは必ず無効にしておくべきだという点は覚えておいてほしい。繰り返しになるが、通常のSIMカードであっても電話番号をアカウントに登録していること自体は問題ではない。しかし、他の設定が不適切だったり、SMSベースの2FAを有効にしていたりすると、セキュリティ上のリスクが高まる。

ルール8. 強力なパスワードを設定すること

パスワードは最低8文字、理想的には12文字以上が推奨される。加えて、大文字、小文字、数字、記号を組み合わせてパスワード要件に沿うものにしよう。最も安全な方法は、ランダムなパスワードを生成し、ノートに記録することである。「パスワードを付箋に書いて貼るのをやめよう」という教えが、いつの間にか「パスワードは絶対に書き残してはいけない」という誤解に変わってしまった歴史があるが、そこには微妙なニュアンスがある。まったく無関係な単語を組み合わせるだけでも、辞書攻撃に強い安全なパスワードを作れるうえ、覚えやすくなる。一方で、パスワードマネージャーにお任せする場合は、20文字以上のランダムなパスワードを生成するのが理想的だ。

ルール9. アカウントの不審なアクティビティを監視すること

パスワードにまつわる不審なアクティビティやログイン失敗ログが検出された場合、まず重要なアカウント（メールや金融関連）からパスワードを変更する。パスワード管理には、KeePass、KeePassX、KeePassDX、KeePassXC、またはBitWardenなどが良い選択肢だ。また、データの整合性チェックに役立つチュートリアルも見つけたので、ぜひ参考にしてほしい。

ルール10. 不要なアプリの連携を解除すること

アカウントに接続しているアプリを確認し、不要な場合はアプリのアクセスを削除する。

ルール11. 未使用または不明なセッションを無効にすること

アカウントに認証されたセッションを定期的に確認し、不要なものを解除する。

ルール12. 理解できない操作は絶対にしないこと

利用するリンクは必ず確認し、特にパスワード変更やログインなどの重要な操作を行う際は、細心の注意を払おう。攻撃手法のひとつとして、偽のリンクでログインさせるなど、意図的に操作を促す状況を作り出すケースがあることを忘れないでほしい。

この記事が参考になったら、ぜひVladimir a.k.a.オフィサーに寄付を！

急速に変化するIT社会において、セキュリティに関するリサーチには膨大な時間がかかります。また難解なセキュリティ情報をわかりやすく噛み砕いて発信することは決して簡単ではありません。ぜひ、寄付を通じて彼の貴重な活動をサポートしてください。

• 0xB25C5E8fA1E53eEb9bE3421C59F6A66B786ED77A または officercia.eth （ETH）
• 17Ydx9m7vrhnx4XjZPuGPMqrhw3sDviNTU （BTC）
• 4AhpUrDtfVSWZMJcRMJkZoPwDSdVG6puYBE3ajQABQo6T533cVvx5vJRc5fX7sktJe67mXu1CcDmr7orn1CrGrqsT3ptfds — Monero XMR;
• その他のアドレス：github.com/OffcierCia/support

Xアカウントを守る12のルールまとめ

1. 使わない場合は委任機能を無効にすること
2. パスワードリセット保護を有効にすること
3. 2FA（二要素認証）を設定すること
4. ユニークな登録用メールアドレスを使うこと
5. メールのエイリアス機能を有効活用すること
6. SIMカードのロックを行うこと
7. SMSによる2FAを無効にすること
8. 強力なパスワードを設定すること
9. アカウントの不審なアクティビティを監視すること
10. 不要なアプリの連携を解除すること
11. 未使用または不明なセッションを無効にすること
12. 理解できない操作は絶対にしないこと

あとがき

Xアカウントのハックで最も恐ろしいのは、自分が投稿できなくなることや自身の信用が失われることだけではありません。最も深刻なのは、「自分を信じてフォローしてくれた人たちを詐欺などの被害に巻き込んでしまう可能性がある」点だと思います。

ルール6「SIMカードのロック」は、キャリアとの連携が必要なため、ややハードルが高いかもしれません。でも、それ以外のルールはどれも自分の手で簡単に取り組むことができます。

今一度、Xアカウントの設定を見直し、大切な人たちと自分自身を守るための対策を始めてみましょう。

翻訳を快諾してくれたVladimirに感謝します！