アカウントセキュリティのためのベストプラクティス
リスクから身を守るために、アカウントに固有パスワードを生成し、危険にさらされたアカウントを保護し、ブロックされた資格情報をリセットする方法について確認します。
パスワードボールトで固有パスワードを生成する
多くの人が複数のアカウントで同じパスワードを使用しています。同じユーザー名やメールアドレスと組み合わせている場合も少なくありません。固有パスワードがなければ、ユーザー名とパスワードの組み合わせの漏洩により、攻撃者がこれらの資格情報を使用する別のアカウントにアクセスする可能性があります。
パスワード管理ソフトウェアの使用は、パスワードの生成と管理に最適です。パスワードボールトを使用する場合、覚えておく必要があるのはボールトのマスターキーだけです。他のパスワードは、文字、数字、記号を混ぜ合わせて自動生成されます。
ログイン資格情報を共有しない
ログイン資格情報 (ユーザー名やパスワード) は、デジタルの世界におけるあなたの個人識別情報であり、内密に保持すべきものです。この情報を共有すると、アカウントの安全性が脅かされます。ログイン資格情報を、同僚、家族、スタッフメンバーを含む誰とも共有しないようにしてください。
スタッフメンバーがあなたのアカウントにアクセスできるようにするのではなく、スタッフメンバーをストアに追加します。スタッフメンバーは固有の資格情報を作成し、自分のアカウントにログインできます。
Shopify サポートがあなたのShopifyパスワードを尋ねることはありません。
一般的な攻撃方法を識別する方法
フィッシング、ビッシング、スミッシングを識別し、アカウントや個人識別情報が危険にさらされたときに取るべき手順を説明します。
2段階認証を有効にする
Shopifyアカウントの2段階認証を有効にして、パスワードを入手した人物が被害をもたらす可能性を低減できます。スタッフも、自身のアカウントに2段階認証を設定する必要があります。
2段階認証 (2SA) は、アカウントにおけるセキュリティの追加措置となるため、オンラインセキュリティにおいて不可欠です。パスワードが共有、推測、漏洩、またはフィッシングされた場合、パスワードだけでは、攻撃者があなたのアカウントにアクセスするのを阻止することはできません。2段階認証を有効にすると、ユーザーはパスワードを知っているだけでなく、あなたが管理画面にログインするために使用する実際のデバイス (モバイルデバイスやセキュリティキーなど) にアクセスする必要があります。
Shopify ペイメントなどの決済ゲートウェイサービスを有効にすると、Shopifyは、その決済ゲートウェイサービスを使用するために2段階認証を設定するよう要求します。2段階認証を無効にすることにした場合、アカウントと財務情報が犯罪者からの攻撃の危険にさらされることになります。
できるだけ他のアカウントにも2段階認証を使用してください。2段階認証をサポートする主なサービスは次のとおりです。
パスキーを使用する
パスキーは、パスワードに代わるより安全な方法です。この方法によって、パスワードを入力せずにアカウントにログインできますが、パスキーの使用はパスワードの使用よりも安全で効率的です。パスキーを使用することにより、パスワードを忘れてリセットしたり、間違ったパスワードを入力してアカウントからロックアウトされたりすることを防げます。
パスキーを使用すると、フィッシング詐欺やパスワード盗難を防止するのに役立ちます。
指紋、顔認証、デバイスのPINなど、デバイスのロック解除に使用している認証方法を利用して、パスキーを追加できます。
Shopifyストアでパスキーを設定する方法について、詳しくはこちらをご覧ください。
リカバリーコードをダウンロードして、安全な場所に保管する
2段階認証の設定における最終段階として、リカバリーコードをダウンロードして保存します。デバイスにアクセスできない場合、または有効にした2段階認証方法を使用してログインできない場合、リカバリーコードを使用してログインできます。リカバリーコードをどこからでもアクセスできる安全で機密性の高い場所に保管してください。
リカバリーコードについて詳しくはこちらをご覧ください。
危険にさらされたアカウントを保護する
アカウントが危険にさらされた場合は、すぐにあなたのデータと財務を保護するための手順を実行してください。
手順:
- Shopifyへのログインに使用するメールアカウントにログインし、パスワードを変更します。
- Shopifyにログインし、Shopifyアカウントのパスワードを変更します。ログインできない場合は、パスワードをリセットしてください。パスワード再設定メールが届かない場合は、Shopify サポートにお問い合わせください。
次のいずれかの操作を実行します。
- ログイン時のセキュリティを強化するために2段階認証を有効にします。
- 2段階認証がすでに有効で、攻撃者がそれを突破した場合 (デバイスを盗んだり、デバイスから認証方法を削除したりした場合など)、別のデバイスに2段階認証を再度設定します。
Shopify ペイメントの銀行情報を確認し、必要に応じて更新します。
PayPalや設定した他の決済サービスの銀行情報を確認し、更新します。
一般アカウント設定を精査し、他の情報すべてが正しいことを確認します。
政府のガイドラインに従って、個人識別情報と機密情報を保護してください。
ブロックされた資格情報をリセットする
多くの人が複数のアカウントで同じパスワードを使用し、同じユーザー名またはメールアドレスと組み合わせているため、ユーザー名とパスワードの組み合わせが漏洩すると、攻撃者は同じ資格情報を使用する他のアカウントにアクセスする可能性があります。
このような事態におけるリスクを軽減するため、Shopifyは公開されているデータ漏洩の情報を入手して分析します。こうした漏洩のいずれかであなたの資格情報が見つかった場合は、アカウントがロックされます。ログインしようとすると、危険にさらされていないパスワードにパスワードをリセットするまで、エラーメッセージが表示されます。
また、2段階認証とパスワード管理ソフトウェアを使用して、すべてのアカウントをできるだけ安全にする必要があります。
疑わしいログインアクティビティ
Shopifyアカウントログインへの攻撃を阻止するために、Shopifyのセキュリティシステムは、異常なアクティビティが検出されたときにアカウントへのアクセスをロックします。このような場合は、ログインプロセスの一環として、自分の身元を確認する必要があります。
10桁のコードがアカウントのメールアドレスに送信されます。このコードを入力して本人確認とログインを行います。
手順:
身元を確認するページで、メールに送信されたコードを入力して[ログイン]をクリックします。
身元が正常に確認されたら、以前の疑わしいログイン情報について、[はい、これは私です]、[いいえ、これは私ではありません]をクリックして、そのログインを自分が行ったかどうかを示します。
[いいえ、これは私ではありません]をクリックした場合、Shopifyではアカウントを安全に保つため、アカウントにログインする前にパスワードのリセットを求めます。
非アクティブなアカウントにログインする
アカウントに3か月間以上ログインしていない場合は、ログインプロセスの一環として、本人確認を行う必要があります。
10桁のコードがアカウントのメールアドレスに送信されます。このコードを入力して本人確認とログインを行います。
手順:
- ログインページで、メールアドレスに送信されたコードを入力します。
- [ログイン]をクリックします。
認識されないデバイスでのログイン
Shopifyでログインに使用されたデバイスを認識しない場合、「新しいデバイスでShopifyアカウントにログインしました」という件名のメールがShopifyから届きます。
アカウントを安全に保護するには、新しいデバイスの認識に問題がないか確認する必要があります。
表示されたデバイスに見覚えがない場合、アカウントが危険にさらされている可能性があります。以下の手順に従ってアカウントを保護してください。
手順:
- メールを開き、[アクティビティを確認する]をクリックします。
- デバイスとログインの詳細を確認します。
- 以下のいずれかの操作を行います。
- デバイスに見覚えがある場合は、[はい、私です]をクリックします。
- デバイスに見覚えがない場合は、[いいえ、アカウントを保護します]をクリックし、指示に従ってアカウントを保護します。
パスワードの変更が必要な場合はShopifyによって認証が要求されます。セキュリティコードは別メールで送信されます。