Googleはニューヨーク大学とカリフォルニア大学の研究者とチームを作り、アカウントハイジャックを35万件以上分析し、基本的なセキュリティ対策でどの程度の強度があるかを確認しました。
その結果、基本的なセキュリティ対策でもかなりの効果が期待できるようで、例えば、疑わしいサインインが検出された場合に、メッセージが届くよう設定する「再設定用の電話番号」は効果が高いということです。
このように、セキュリティ対策は難しいというイメージがありますが、実は基本的な対応こそが重要だと思われます。
基本的な対応は、IPAの発行する「中小企業の情報セキュリティ対策ガイドライン」にある「セキュリティ5か条」に記載されており、多くの場合、この基本がおろそかになっているそうです。
記事では他にセキュリティ事故事例も紹介されています。
補足をすると、上記のケース(再設定用の電話番号設定)は、あくまで「アカウントハイジャック」についての内容で、つまりはフィッシング詐欺や標的型攻撃のように「なしすまし」に対しての対策と言えます。
よってマルウエア感染やビジネスメール詐欺といった手口に対しては、しっかりとIPAのガイドラインを読んだ方が良いでしょう。
詳しくはこちら
Googleの調査による「最強のセキュリティ対策」は超簡単なことだった:新倉茂彦の情報セキュリティAtoZ:オルタナティブ・ブログ