結論
Twitter(X)に2段階認証をかけて、スマホのロックを固めておけば大丈夫。
個人情報が奪われて困る状況の場合は、顔認証や指紋認証はオススメできない。
共有パソコンのGmailなどはログアウトしておく。
2段階認証アプリを起動時にパスワード入力を求めるものにすることもオススメ。
※FBIやスーパーハッカー等に狙われる可能性は今回考慮していません。
※筆者家族は幸せです。危ないパートナーはいません。
何を検証するか?
専門的なITの知識がない一般人が、主にTwitter(X)のパスワードリセットを用いてパートナーのアカウントを無理やりのぞき見ることは可能かを検証します。
ユースケース
様々な人生の節目で、パートナーに自分の個人情報をあさられてしまい嫌な思いをしている時の対策
攻撃の流れ
①ログアウトした状態でTwitter(X)のログインを押す
②パスワードを忘れた場合はこちらを押す
③不正アクセスしたいアカウントを入力する
④アカウント作成時に登録したメールアドレスに確認コードが送信される
⑤パスワードリセットメールに書かれている確認コードを入力する
※ここでパートナーのメールがのぞけなければ攻撃失敗
⑥(スクショ忘れ)パスワードを更新する。
⑦2段階認証のコード入力を求められる
※ここでパートナーの2段階認証コードにアクセスできなければ攻撃失敗
防御方法
効果の高い順に紹介します。
対策1:スマホの顔認証、指紋認証をオフにして難しいパスコードを設定する。離席時には画面ロックを徹底する。
効果:根本的な対策を行うことができます。画面ロックが解除されているスマホをパートナーが手にすれば、パスワードリセットに関係なく鍵アカウントへのアクセスが可能です。また、パスワードリセットメールや2段階認証コードへアクセスされる可能性が高まります。パートナーに不正アクセスされる恐れがある場合は、絶対に強力なロックをかけることを推奨します。
対策2:普段使いする端末以外ではGmail等のメールアプリからログアウトする。
効果:例えば共用パソコンにはパスワードでロックをかけていなかったり、パートナーも知っているパスワードをかけているケースがあるはずです。その場合共用パソコンからメールをのぞき見られることで、パスワードリセットのための確認コードにアクセスされる可能性があります。必ずログアウトしましょう。その後は対策1を徹底することで、普段使いの端末からメールにアクセスされることを防ぎます。
対策3:2段階認証アプリを導入する(起動時パスワード確認されるものを推奨)
効果:パスワードリセットのための確認コードが書かれたメールを見られたとしても、2段階認証コードが漏洩しなければ鍵アカウントへ不正アクセスすることはできません。対策1を徹底し、スマホのロックは絶対に外した状態にしないようにしましょう。2段階認証アプリにも、起動時にパスワード入力を求めるものがありますので、併用することをオススメします。
例えばMicrosoft社のAuthenticatorならアプリ起動時にパスワードや顔認証を求めることができます。
最後に
不正アクセス、ダメ、絶対!!
犯罪です!!