予約投稿なのだが、この記事を書いてる現在、

私が保有してる証券口座には今のところおかしなことは起こってない。

もちろん、二段階認証は設定済み、さらに1つの口座にはログインの一時停止も設定してるのでもう証券口座に触ることは不可能・・・・なハズ。。。

もちろん、ログインを試みた場合はスマホにメールが来るのですぐにわかるようにしてる。

このアナウンサー、証券会社からメールが来て、あれこれとその都度手続きしたって言ってるし、完全にフィッシングにやられたんだと思う。

ITリテラシーに弱い年寄り連中だとこの程度だと思うし、フィッシングサイトで実際にIDとかを入力して検証する動画みたけど、

IDとパスワードをでたらめに入力⇒「認証しました」って画面に出た後、正規の証券口座のHPに飛ばされるのでリテラシー低い人間は恰好のエサだって思ったわ。

ただ、、、

気持ち悪いのはフィッシングサイトにIDなどを入力してないのに不正アクセスされたって人がいるという事実。

あのカリスマ投資家もフィッシングではないと言ってるし、中には2段階認証すら突破されたって人までいるので、原因が完全にわからないのでどうも落ち着かない日々が続いてるんだよね・・・

そう思いつつスマホでXのポスト見てたときに、気になるポスト見かけたんだよ。

この記事の本題はここから。

※長くなるので興味なければ退場願います(笑)

かいつまんで言うと、

MicrosoftアカウントとGoogleアカウントが原因じゃないのか！？ってこと。

MicrosoftアカウントってWindows10のPCにしたときにアカウントを取得しろってうるさいので取得した経緯がある。

Googleアカウントもこれがないとスマホでアプリ使えないので無理やり作らされた経緯がある。

正直、どっちもいらんわって思ってたけど、サービス受けられないし、Microsoftアカウントは無ければPCの初期のセットアップできないという脅しまでかけてくるので取得せざるを得ないんだけど、

自称・PC上級者やデキるビジネスパーソンな人たちはこういうアカウントから受けられるサービス使って日常を謳歌し、バリバリとビジネスに勤しんでおられるんでしょうけど、

これ、かなり盲点あると思うんだよ。

というかセキュリティホールってこのMicrosoftアカウントとGoogleアカウントだと確信しつつある。

そもそも、これらのアカウントの特徴は「ほかの端末でも同じ設定を引き継げる」という同期という機能がある。

引き継げるのはブックマークやパスワード、IDなどの重要データ。

とくに仕事で使ったりする人はご丁寧にアカウントに氏名や生年月日などの個人データもきっちり入ってるはず。

つまり、これらのアカウントに不正アクセスされたら、アカウント内に保存されてるパスワードとID、個人データも一緒に持って行かれるリスクが大ということ。

で、このIDもメールアドレスをそのまま使用するので、このメールアドレスを普段使いにしたり、企業からのサービスや配信受けるのに登録した場合、そこからIDという公開鍵をさらすハメになる。

ということは、、、パスワードがわかればもうそのアカウントにログインできてしまうということだ。

そして結構な数の人がパスワードにIDと似たような文字列使ったり、単純なパスワードにしたりしてたりであっさりと不正アクセスを許してる事実がある。

あと、コロナ禍で浸透したテレビ会議なんかで会社のネットワークにつなげてPC使うようになったが、会社のシステム担当者が無能、もしくはアホな社員がウイルス添付されたメール開いてネットワーク介してマルウェアが拡散し、個人のアカウント用IDとパスワードを持って行かれるってことにもなってるはず。

さらにこの手のアカウントにはメールアドレス（Gメールなど）も一緒に紐づいてるので、メールのアクセス権も手に入ることを考えると、2段階認証もたやすく突破できる可能性も十分あるってこと。

つまり、個人のパスワード設定がゆるい、もしくは会社のクソなネットワーク管理のせいでマルウェア入れられて個人のアカウントIDとパスが流出、そのまま中の重要情報全部持って行かれるってことだよ。

このことに気づいたとき、なんか胸のつかえがとれた気がしたんだよ。

ブラウザに保存されてるIDとかパスワードを盗むのって、ネットでファイルやアプリをダウンロードした際に拾ったマルウェアって思ってたけど、

パスワードをID（メールアドレス）から推測したり、企業ネットワークからマルウェア介して抜いてしまえば簡単なんだよ。

ずいぶん過去の記事なんだけど、この同期って言葉にずっと引っかかってたし、他の端末からブラウザ設定引き継いだり、中にパスワード保存されるって気持ち悪いって思った自分の感覚って正しいって確信したわ。

これまで被害に遭わなかったのはこの便利とされるこういう機能を一切無視した結果だと思う。

こういう新しい機能出るたびにやたらと便利さとか快適さを前面に押し出してくるけど、こういうセキュリティリスクがあるってことを意識すべきだよ。

今回の大規模な証券口座の不正アクセスにおいて、フィッシング以外に被害にあった人はこういう設定が盲点だったと思う。

ちなみに。。。。

「デキないビジネスパーソン」な私はアカウントでやり取りする相手もいないし（これによりアカウント（メールアドレス）が第三者の目に触れないというメリットがある。）、アカウントには偽名とでたらめな個人情報入れて本人に可能な限り紐づかないようにしてる。

※アカウント復帰と2段階認証用にメールアドレスと携帯番号は入れてるけど・・・

こんなインチキ臭い機能に正真正銘の個人情報入れるやつの気が知れないわ(笑)

この問題落ち着いたら被害あった人とあわなかった人でこういうアカウントの設定とかを検証してもらいたいわ。