Gucciferと名乗る匿名のハッカーのおかげで、ジョージ・W・ブッシュ元大統領が風呂で自画像を描くのが好きだったことがわかった。
これは、ブッシュ一族とその親しい友人の少なくとも6つのメールアカウントがハッキングされ、その内容がオンラインで共有された際に明らかになった、ちょっとした情報の一つです。この注目を集めたハッキング事件は、元アメリカ合衆国大統領であろうと、ごく普通のGmailユーザーであろうと、メールアカウントには強力なパスワードを設定することの重要性を改めて浮き彫りにしました。
スモーキング・ガンによると、ジョージ・H・W・ブッシュの家族や親しい友人からの電子メールメッセージは2009年から2012年にかけてのもので、家族の写真とともに家族のプライベートな会話も含まれている。
シャワーの絵を除けば、オンラインに投稿された写真はごくありふれたものだ。ジョージ・H・W・ブッシュ元大統領とビル・クリントン元大統領が、ブッシュ一族の若いメンバー、おそらくピアース・ブッシュ氏(彼自身もオンラインでの過剰な露出には慣れている)とポーズをとっている写真もある。他にも、ジェブ・ブッシュ氏、ジョージ・W・ブッシュ氏、ローラ・ブッシュ氏とバーバラ・ブッシュ氏の写真などがある。
ブッシュ家の侵入は刑事捜査の対象となっていると、ブッシュ家の広報担当者はヒューストン・クロニクル紙に語った。著名人へのハッキングは近年日常茶飯事となっており、メール、個人写真、携帯電話、SNSアカウントなどが標的となっている。ブッシュ家は、元アラスカ州知事で副大統領候補のサラ・ペイリン氏やチャック・グラスリー上院議員など、ハッキング被害に遭った政治家のリストに名を連ねた。政治家以外にも、マイリー・サイラス、オリビア・マン、スカーレット・ヨハンソンの写真流出など、著名人のハッキング被害は数え切れないほどのオンラインスライドショーを生み出している。
しかし、ハッキングの被害に遭うのは公務員や著名人だけではありません。Twitterアカウントや政治活動、あるいは明確な理由もなく、標的にされる人もいます。例えばここ数日、Gmailのウィンドウ上部に、国家の支援を受けた攻撃者が私のアカウントに侵入しようとしている可能性があるという警告が表示されています。
では、攻撃者が侵入し、個人のスナップショット、文書、メールをインターネット上に大量に流出させないようにするにはどうすればよいでしょうか?セキュリティ対策について改めておさらいしましょう。
パスワード
長く(最低10文字)、数字、文字、特殊記号(使用可能な場合)を含むパスワードを設定するようにしてください。1Password、KeePass、LastPassなどの多くのパスワードマネージャーは、パスワードを生成・記憶してくれます。これにより、それぞれがユニークで覚えにくいパスワードを持つ複数のオンラインアカウントを管理するのがはるかに簡単になります。パスワードについて詳しくは、PCWorldのヒントをご覧ください。
複数のアカウントで同じパスワードを使い回すべきではありません。特に、機密性の高いアカウントでは、このアドバイスは特に重要です。銀行やPayPalなど、お金やオンラインIDに関わるもの、Amazonなどのクレジットカード情報を保存するサイト、メールアカウント、Facebook、Twitter、実名を使うその他のソーシャルネットワークなど、あらゆるアカウントがこれに該当します。
二要素認証
2要素認証で保護できるオンラインアカウントをお持ちの場合は、ぜひ活用してください。これにより保護層がさらに強化され、ハッカーによる侵入が困難になります。2要素認証の基本的な考え方は、保護されたアカウントにアクセスするには、ユーザーが知っている情報(パスワード)とユーザーが所有する情報(認証トークン)の2つが必要であるということです。
多くの認証トークンは、Google Authenticatorなどのスマートフォンアプリで生成できます。これらのアプリは、パスワード入力後に入力する必要がある、時間制限のあるコードを提供します。2要素認証をサポートしているサービスの例としては、Battle.net、Dropbox、Google、LastPassなどがあります。
アカウントの回復
よくある攻撃方法の一つは、ウェブメールサービスのアカウント復旧オプションを利用することです。ハッカーは、予備のアカウントを乗っ取ることで、メインのメールアカウントに侵入しようとします。例えば、あなたが[email protected]を使用していた場合、ハッカーは「パスワードを忘れた場合」のリンクをクリックし、バックアップアドレスが[email protected]であることを突き止めるかもしれません。多くの人は復旧用アカウントを最新の状態に維持することを忘れており、ハッカーは忘れたメールアドレスを再開させ、アカウント復旧メールをそのアドレスに送信させてしまいます。そして、気づかないうちにGmailアカウントにアクセスできなくなってしまいます。Googleやその他のウェブメールプロバイダは、アカウント復旧オプションが最新の状態であることを確認するよう、定期的にリマインダーを表示します。これらの警告を無視しないでください。
デイジーチェーン接続はしないでください
機密性の高いアカウント、つまり金銭やオンラインIDを管理するアカウントに関しては、すべてのアカウントで同じ予備メールアドレスを使用しないでください。たった一つの予備メールアドレスが乗っ取られると、雪だるま式にハッキング被害に遭い、オンラインライフ全体に影響が及ぶ可能性があります。これがいかにして悪夢へと変わるかについては、Honan, Mat をご覧ください。
さて、悪いニュースです
これらは、データの安全を確保するために実行できるベストプラクティスの一部です。しかし、一部の脆弱性は自分では制御できません。例えば、攻撃者はカスタマーテクニカルサポートを騙してパスワードをリセットさせたり、第三者を巻き込んだソーシャルエンジニアリングのハッキングを仕掛けたりする可能性があります。
結局のところ、ハッカーを阻止するためにできることは限られています。しかし、適切なパスワード管理、二要素認証、アカウント復旧の実践を通して、オンライン生活におけるハッキングを困難にすればするほど、オンライン上の悪意のある攻撃者の被害に遭う可能性は低くなります。
