ゾンビは昨今、文化的なテーマとして広く浸透しています。ゾンビ・アポカリプスを描いた映画や文学は枚挙にいとまがなく、アメリカ軍や疾病予防管理センターでさえ、冗談めいたゾンビ対策計画を公表しています。しかし、十分な注目を集めていないゾンビも存在します。インターネット上に蔓延するゾンビアカウントです。
これまでどれだけのウェブサイト、ソーシャルネットワーク、その他のオンラインサービスに参加してきたか、少し考えてみてください。PCやモバイルデバイスにインストールしたソフトウェア、モバイルアプリ、ブラウザプラグインなど、あらゆるものも考えてみてください。
どれくらいのアカウントを定期的に使用していますか?また、FacebookやTwitterのプロフィールにリンクしているアカウントはいくつありますか?さらに重要なのは、適切に保護されていることを確認するために、どれくらいのアカウントを積極的に管理・更新しているでしょうか?
ここでは、注意すべき危険性と、なかなか消えないユーザー アカウントに対処するためのヒントをいくつか紹介します。
アンデッド:生者にとっての大きな頭痛の種
MySpace.com はもう何年も使っていません。かつては圧倒的な人気を誇っていたこのソーシャルネットワークにログインしてから、おそらく少なくとも5年は経っているでしょう。しかし、実は今でもアクティブなアカウントがあることがわかりました。ログイン用のメールアドレスとパスワードを思い出すのに(というか、推測するのに)何度か試行錯誤しましたが、なんとかログインできました。
ログインすると、私の住所と勤務先に関する情報、2009年初頭からのオンラインゲームへの招待、そして友人とのつながりと個人情報が見つかりました。これらの友人たちも、何年もMySpaceのことを考えていなかったことはほぼ間違いないでしょう。
多くの人は、機密データにアクセスできないサイトやサービスでは、シンプルで覚えやすいパスワードだけを使用しています。安全なパスワード管理の実践では、すべてのサイトで一意かつ複雑なパスワードを使用することをお勧めしますが、多くの人は銀行、クレジットカード、そして場合によってはソーシャルネットワーキングのアカウントにのみそうしています。
ただし、複数のサイトで同じパスワードを使い回すのは賢明ではありません。金融情報や社会保障番号にアクセスできないオンラインプラットフォームであっても、一見無害に見える情報が漏洩し、ハッカーに他のアカウントへの侵入の手がかりを与えてしまう可能性があります。例えば、私のMySpaceプロフィールには高校名や星座といった個人情報が含まれており、サイトが認証用の質問としてよく使う情報のヒントを与えてしまいます。
セキュリティ企業QualysのCTO、ヴォルフガング・カンデック氏は、パスワードの使い回しが裏目に出る可能性があることを身をもって学びました。カンデック氏は次のように述べています。「以前は、こうした種類のサイトではよくある『お手軽』なパスワードを使っていましたが、最近、ストラトフォーで使っていたパスワードが漏洩し、その後の整理で、重要だと考える多くのサイトで同じパスワードを使っていたことが発覚し、それが痛手となりました。」
シマンテック セキュリティ レスポンスのディレクターであるケビン ヘイリー氏は、ゾンビ アカウントがハッキングされ、それらのアカウントで共有されているデータが盗まれたり、漏洩したりする可能性があると警告していますが、そのリスクは必ずしもアクティブに使用しているサイトのリスクよりも大きいわけではないとも指摘しています。
ただし、あまり知られていないサイトやサービスには Facebook や Google のようなリソースがないため、それほど積極的に維持管理され、保護されていない可能性があることに留意してください。
使用していないアカウントやアプリケーションを無効化または削除する
今後ソーシャルネットワーク、アプリ、またはオンラインサービスを使用しない場合は、アカウントを閉鎖してください。多くの場合、ユーザーはツールやサービスの利用をやめてそのままにしておくだけで、アクセス可能な情報を削除したり保護したりする対策を講じません。
多くのサイトやサービスでは明確なデータ保持ポリシーがないため、アカウントに投稿したデータは、あなたが知る限り無期限に保持される可能性があります。数年後にサーバーへの侵入や不正アクセスが発生すると、共有したことすら忘れていた情報が漏洩してしまう可能性があります。
セキュリティ企業Lumensionのセキュリティおよびフォレンジックアナリスト、ポール・ヘンリー氏は、アカウントを無効化し、機密データを削除するのは言うほど簡単ではないと警告しています。「Facebookのようなサイトを見れば、データを削除するには本当に手間がかかります。たとえ情報を削除したとしても、少なくとも30日間は残ります。そして、その30日以内に再度ログインすると、たとえ再度削除したとしても、情報は永久に保持されてしまうのです。」
ヘンリー氏はまた、使われていないアプリケーションやプラグインは、忘れられたウェブサイトがハッキングされる可能性よりも大きな脅威であると強調しています。使っていないソフトウェアにパッチやアップデートを適用していない可能性は高いでしょう。攻撃者がこれらのプログラムの脆弱性を発見すると、それはあなたのPCに侵入するための容易なバックドアとなってしまいます。
問題の一つは、人々が意識的にサイトやサービスの利用を停止するという決断をほとんどしないことです。ひょっとすると、サイトへのアクセスを頻繁にしなくなり、最終的には完全に忘れてしまうかもしれません。こうした点に常に気を配るには少し手間がかかりますが、不必要なリスクにさらされたり、機密情報を無防備な状態にしたりしないよう、努力すべきです。
パスワード管理ユーティリティを使用する
ユニークなパスワードを考えるのは簡単ではありません。ましてや、それらをすべて管理するのは至難の業です。2012年の調査によると、成人のほとんどが5つ以上のユニークなパスワードを所有しており、約10%が20以上のパスワードを所有していると回答しています。しかし、ここ数年で発生した大規模なデータ侵害により、これらのパスワードの多くが「12345」や「password」のように簡単に推測できる文字列であり、実質的にセキュリティが全く確保されていないことが明らかになりました。
カンデック氏はストラトフォー事件で教訓を得ました。この出来事をきっかけに行動を変え、同じパスワードを何度も使い回すのではなく、パスワードマネージャーを使って使い捨てのパスワードを生成するようになりました。「私は非常に規律正しく行動してきました。そして、それは非常に効果的で便利であることが証明されました。LastPassを使っているのは、LinuxとChromebookをしっかりとサポートしていて、2要素認証を提供しているからです。」
もちろん、LastPassのようなオンラインサービス自体がリスクを伴い、万能薬というわけではありません。2011年にはLastPassが侵害されたのではないかと懸念されていましたが、それは異常なネットワークトラフィックに対する過剰反応だったことが判明しました。
それでも、必ずこれらのヒントに従い、使用していないサービスやアプリケーションを無効化または削除する手順を実行してください。そうしないと、ゾンビ アカウントが最終的に再びあなたを悩ませることになります。
