ついにpCloudのフィッシングメールが出回るようになってきたみたいです。皆さん、ご注意を。
pCloudはプライバシーとセキュリティに重点を置いたクラウドストレージ・サービスとして、近年、世界中でその評価が高まっています。世界はもちろん、日本でもユーザ数は順調に増え続けており、そりゃ、まあ、いつかは日本でも始まると思っていました。
フィッシングメール。
意味的には「偽りの内容で引っ掛けて釣るメール」ですが、Fishing-mailではなく、Phishing-mailと書きます。語源も意味も同じなのですが、社会現象になるに伴って新語としてPhishingという綴りが生まれたらしいです。
「Amazonの荷物を届けましたが不在でした。ここから再配達を指定してください」
「あなたのアカウントに不正アクセスがありました。クリックして確認してください」
「Gmailのアカウントを一時的に制限しています。確認しないと強制的に閉鎖します」
GoogleやAmazonなどは既に受け取ったことのある方も多いと思いますが、pCloudも有名になり、市民権を獲得していく中で、いよいよフィッシングメールのネタとして使われるようになってきました。
海外では既に多く出回っているのですが、日本国内でも目にするようになってきたようなので、注意喚起のために記事にしておきます。
目次
フィッシングメールの見分け方
pCloudに限らずフィッシングメールの見分け方は、一般的に送信元のメールアドレスを確認することです。
pCloudから送られてきたメールは、pcloud.com または pcloud.email というドメインが使われています。それ以外はすべてウソです。
上の2つのように、「pCloud Team <team@pcloud.email>」「pCloud Team <team@pcloud.com>」から送られているメールは本物です。
しかし、pCloudを騙るフィッシングメールの場合は、「pCloud Team <xxx@aaa.co.jp>」のように、メールアドレスが全然違うところから届いています。この場合、偽物でほぼ間違いありませんので、注意してください。
ただ、時々「p-cloud.com」とか「qcloud.com」、「pcloud_com.com」、「pcloud.jp」などの変則ドメインで送られてくる場合もあります。よーく見て、騙されないように注意してください。
二要素認証を設定しよう
万一見分けられなくて、うっかりクリックしてしまったときのために、できるだけpCloudのログインに二要素認証を掛けておきましょう。
二要素認証とは、
- “パスワード” や “秘密の言葉” といった本人しか知り得ない「知識」
- “スマホ” や “ICカード”、”印鑑” といった持ち主を特定する「所有」
- “指紋” “顔” といった「生体」
この3つのうち2つを確認することで、ログインしようとしている人物が紛れもなく本人であることを確認する認証方法を言います。2FA(2 Factor Authentication)という言い方もします。
二段階認証というのも聞いたことがあると思いますが、パスワードを入力した後、秘密の言葉を入力させるなど、同じ要素を2回確認する方法で、2つ以上の要素を確認しない方法のことを言います。
pCloudの二要素認証では、ログイン時にスマホのメッセージアプリ宛てに数字の番号が届くタイプと、Google Authenticator(グーグル・オーセンティケーター)というアプリを使用するタイプの2種類の方法を提供しています。つまりパスワードのほかに「所有」の要素を用いるわけです。
スマホのメッセージアプリ宛てに届く方法
このように、スマホのメッセージアプリにセキュリティコードとして数字の羅列が送られてくるタイプの認証方法です。
pCloudのWeb版にログインして、画面右上から[設定] > [セキュリティ]を選択します。
すると二要素認証の表示があり、
「テキストメッセージとシステム通知」
「Google Authenticator」
この2種類の項目が見えると思います。
両方を有効にすることはできないので、「テキストメッセージとシステム通知」か「Google Authenticator」のどちらかを選んで運用することになります。
まず「テキストメッセージとシステム通知」の方から試してみましょう。
「テキストメッセージとシステム通知」の右側にあるスイッチをONにすると、パスワードの入力を求められます。
警告メッセージが出ます。
二要素認証の設定にあたり、いったんすべての端末からログアウトするよ、という意味です。
スマホの電話番号を入力します。
アプリが古いと不具合が生じるかも知れないので、念のためチェックしておいてください。
リカバリコードは、事故が発生したときの命綱です。
とりあえず保管しておくと良いでしょう。「閉じる」を押してください。
スマホのメッセージアプリにpCloudから通知が届いていると思います。
6ケタの数字の羅列をコピーして、ここにペーストすれば二要素認証の設定は無事に完了します。
Google Authenticator を使った認証の設定方法
Googleのアプリで、「Google Authenticator」というアプリがあります。
このアプリが自動生成するワンタイムパスワードを入力することで、二段階認証が完了します。Google Authenticatorが生成するパスワードは30秒ごとに変化し、アプリをインストールしたスマートフォンしか分からないパスワードになるため、前項で説明した「所有」を証明する要素として成立するわけです。
もちろんpCloudだけでなく、別のオンラインサービスなどでも対応していれば使用できます。
メッセージアプリと同じく、設定時にはパスワード確認があります。
設定に伴って、すべてのデバイスから一旦ログアウトされます。
すると、上図のような画面になります。
まだGoogle Authenticatorをインストールしていない場合は、この段階でインストールして準備してください。
Google Authenticatorの様子です。この右下の「+」ボタンをタップすると、「QRコードをスキャン」という項目が出てくるので、それをタップします。
カメラが起動するので、こんな感じでPC画面上のQRコードを撮影します。
もし上手く動作しなかった場合は、この警告の通り、アプリが最新版になっているかを確認してください。
メッセージアプリと同様に、万が一の際のリカバリコードが表示されます。念のために保管を。
「閉じる」ボタンを押します。
Google Authenticatorを見ると、このように新しく「pCloud」の項目が表示されているはずです。
表示されている6ケタの数字の羅列が、ワンタイムパスワードです。30秒で変化します。作業途中でパスワードが切り替わってしまった場合は、新しい数字に入力し直せば大丈夫です。
これをタップするとワンタイムパスワードがコピーできます。
pCloudのサイトに戻り、さきほどのワンタイムパスワードを入力すると設定完了です。
二要素認証でさらに安心。pCloudなら安全にデータを管理できます。
以上が、pCloudにおける二要素認証の設定方法です。やってみるとそれほど難しいことはありません。
pCloudを騙るフィッシングメールが日本でも確認され始めたいま、pCloud公式でもセキュリティ対策として、この二要素認証設定を推奨しています。
この設定により、pCloudのフィッシングメール対策になることはもちろんのこと、日常的なセキュリティ向上にも繋がるはずなので、ぜひこの機会に、セキュリティ設定の見直しをしてみてください。
