大規模なデータ漏洩や侵害は、次々と発生しています。ここ数ヶ月だけでも、国家公衆データ(National Public Data)で数十億件、メディケアで数百万件、MC2データで1億件のデータが流出したことが明らかになっています。身元調査などのデータ処理サービスを手掛ける企業は、自社のネットワークを流れる機密データを保護できていないと言えるでしょう。
残念ながら、詐欺、個人情報の盗難、アカウントの乗っ取り、その他私たちのお金を奪おうとする計画のリスクが高まるという形で、私たち国民がその結果の矢面に立たなければなりません。
しかし、そのような攻撃に無防備になる必要はありません。少なくとも、完全に無防備になる必要はありません。悪意のある人物があなたから盗むのを難しくすることは可能です。あなたの時間はお金と同じくらい貴重であり、詐欺が成功した場合、その両方を失う可能性があります。
ログイン方法を強化する
パスワードがインターネット上に漏洩すればするほど、ハッカーがあなたのパスワードを推測しやすくなります。ハッカーは、そのデータをクラッキングツールに入力できるだけでなく、クレデンシャルスタッフィング攻撃にも利用できるようになります。クレデンシャルスタッフィング攻撃とは、Web上に公開されている既知のメールアドレスとパスワードの組み合わせを入力して、どのアカウントにアクセスできるかを調べる攻撃です。
したがって、アカウントを保護するには、少なくとも強力かつ一意のパスワードが必要です。(パスワードマネージャーを使えば、パスワードを整理して管理できます。)
クリス・ホフマン/IDG
しかし、たとえ強力なパスワードであっても、誰かがパスワードを入手したり推測したりすれば、侵入者を防ぐことはできません。より強力な保護対策が必要です。そこで二要素認証やパスキーが役立ちます。
二要素認証(2FA)は、ハッカーがアカウントへのアクセスを許可する前にクリアしなければならない二つ目のハードルを追加します。最も一般的には、ワンタイムコードを生成するアプリが2FAの手段として使用されますが、さらに安全な方法として、YubiKeyのようなハードウェアドングルがあります。物理的なデバイスであるため、使用するには本人が所持している必要があります。
(注: 2FA には電子メールまたはテキスト メッセージで送信されたコードを使用できますが、SMS と電子メールは傍受される可能性があるため、これらの方法は弱い方法です。)
パスワードの代わりにパスキーを使用することで、パスワードを一切使用せずに済みます。この新しいログイン方法は、パスワードよりも安全で、2FAよりも手間がかかりません。パスキーは暗号化され、デバイスと作成されたウェブサイトの両方に紐付けられているため、フィッシング詐欺によって盗まれたり、パスワードのようにウェブ上で悪用されたりすることはありません。さらに、生体認証またはPIN認証によってパスキーの使用を承認することで、セキュリティをさらに強化できます。
WABetainfo
バックアップシステムを使用している限り、パスキーをログインの主な方法として推奨します。AppleとAndroidのスマートフォンは、パスキーをデバイス間で自動的に同期します。パスキーを保存できるパスワードマネージャーも同様です。クラウドを信頼できない場合は、パスキーデバイスとして複数のハードウェアドングルを設定することをお勧めします。また、デバイスを紛失し、同期されたパスキーを持つ別のデバイスにアクセスできない場合に備えて、非常に強力なパスワードと2FAをバックアップログイン方法としてアカウントに設定しておくこともできます。
すべてのアカウントをより安全なログインに移行するには時間がかかる可能性があります。そのため、少なくとも、財務、税金、主要なメール アカウントなどに関連する最も機密性の高いアカウントから先に対処してください。
関連:マイクロソフトはWindows 11でパスキーをさらに使いやすくしました
経済生活をロックダウンする
侵害や漏洩によって失われたデータには、個人を特定できる情報が含まれています。氏名、生年月日、住所だけでなく、米国居住者の場合は社会保障番号も含まれており、個人情報窃盗のリスクが高まっています。ご自身を守るために、以下の対策を検討してください。
- 信用を凍結する
- 信用報告書を確認する
- 銀行取引報告書を凍結する
- IRSの個人情報保護PINを設定する
ダークウェブで個人情報が流出した場合の安全確保策を網羅した「ダークウェブで個人情報が流出した場合の安全確保策」では、各ステップについてさらに詳しく解説していますが、このリストは米国居住者向けの基本的な事項をまとめたものであり、米国以外の国にお住まいの方にも参考になる内容です。信用情報と銀行口座の記録を凍結して、自分だけが自分の名前で口座を開設できるようにし、既存の信用情報に不正行為がないか確認し、IRS(内国歳入庁)に個人情報保護用のPINを設定して、自分だけが自分の名前で確定申告をできるようにしましょう。
PCワールド
すべてが順調に進むと、1 つのステップにつき 30 分以上かかることはないはずです。つまり、ほとんどの人は 1 週間かけて簡単にこれらのステップに取り組むことができます。
その後は、クレジットカードや銀行口座の凍結を一時的に解除するためのPIN番号を記録し、税金を申告する必要があります。パスワードマネージャーを使えば、これらの情報を安全に保管できます。サービスへの不正アクセスが心配な場合は、ローカルファイルに保存することもできます。(あるいは、Google、Apple、Microsoftといった強力なセキュリティチームを持つ大手企業のクラウドアカウントに保存されたデータベースファイルを使用するという選択肢もあります。)
誰と話すか注意してください
現時点では、ダークウェブにはほとんどの人の個人情報が溢れており、悪意のある人物が簡単に個人を特定できる詐欺を仕掛けることができるのです。彼らはあなたの名前や住所といった情報だけでなく、あなたが登録しているウェブサイトやサービスも知っています。
ですから、すべての連絡は慎重に選別しましょう。特に、緊急性の高い内容のメッセージには警戒しましょう。もしかしたら、荷物が本当に行方不明になっているかもしれませんし、クレジットカードに不審な動きがあったのかもしれませんし、兄弟が旅行中に本当に財布をなくしたのかもしれません。セキュリティ専門家の推奨通り、メッセージが本物かどうかを確認する時間はまだあります。
PCワールド
例えば、クレジットカードが不正利用された場合、その旨を知らせるメールやテキストメッセージ内のリンクをクリックしたり、電話をかけてきた相手に個人情報を渡したりしないでください。代わりに、クレジットカードに記載されている連絡先や銀行のウェブサイトから連絡を取り、それらの手段で対応してください。
企業ではなく、知り合いからの連絡であることを確認したい場合も、同じルールが適用されます。電話の場合は、相手の電話番号が偽装されている可能性があるため、既知の回線に折り返し電話をかけてください。メール、テキストメッセージ、Messengerなどの他のコミュニケーションプラットフォームでのメッセージの場合は、相手のアカウントがハッキングされている可能性もあるため、別の方法を試してください。(例:Messengerで即時送金の依頼を受けた場合は、相手に電話またはテキストメッセージを送信し、アカウントがハッキングされていないことを確認してください。)
デジタル プライバシーのこの新たな地獄のような状況では、特に AI の台頭によってさらに洗練された詐欺が作成されるようになっているため、信頼はもはや自動的に与えられるものではなくなっています。
ニュースを常に把握する
パーソナライズされた詐欺を回避するには、これまでにどのようなデータ侵害や漏洩が発生したかを把握しておくことが重要です。例えば、AT&Tの加入者は、同社による顧客データ(社会保障番号を含む)の流出を認識しており、自分のアカウントに関するやり取りをより注意深く精査することができます。
PCワールド
ニュースの最新情報を入手する方法はいくつかありますが、一般的には複数の情報源に頼ることをお勧めします。すべてのサービスが同じイベントを報道するわけではなく、ましてや同じ時刻表で報道するわけでもありません。以下にいくつか例を挙げます。
- 放送およびオンラインメディア(PCWorldを含む):これらのメディアは、大規模な侵害だけでなく、主要視聴者に関連する侵害についても報道することが多い。
- Google : アカウントをお持ちの場合は、同社のダークウェブモニタリングサービスにアクセスできます。このサービスでは、新しい漏洩や侵害を驚くほど迅速に報告できます。
- ウイルス対策スイート:有料サブスクリプションにはダークウェブモニタリングが含まれていることが多く、無料のサブスクリプションでは、ユーザーの基本情報(メールアドレス、名前)が漏洩したかどうかを報告してくれることもあります。
また、いつものように、取引先の企業やサービスからのメールの最新情報にも注意してください。メールや書面による連絡には、失われた情報の詳細や提供されている救済サービスなどが記載されていることがよくありますが、受け取ったメッセージが信頼できるものであることを確認するために、ニュース報道などで詳細を裏付けるようにしてください。
関連:ハッカーはあなたの社会保障番号を知っています。安全を保つ方法はこちら
