コーヒーショップから飛行機、電車、クルーズ船まで、私たちはどこにいてもインターネットに簡単にアクセスできることに慣れてしまっています。問題は、それがセキュリティの脅威に対してどれほど脆弱であるかを忘れてしまいがちだということです。
最近、サンノゼからタンパへ旅行中に、4つの都市を通過した際に、このことを身をもって学びました。他人にデバイスがハッキングされる可能性は重々承知していましたが、これまで一度も問題に遭遇したことはありませんでした。ところが残念ながら、初めての経験というのはあります。帰宅後、Facebookから不審なアクティビティの警告が届きました。なんと「Firesheep」に感染していたのです!
どうやらシカゴの何者かが(Firefox と Windows PC を使用して)、Firesheep 経由で私の Facebook アカウントにログインしていたようです。Firesheep は、オープン Wi-Fi ネットワーク上の特定の Web サイトから暗号化されていない Cookie を傍受できる Firefox 拡張機能で、Facebook や Twitter などのサイトのログイン認証情報を盗んだり、電子メールにアクセスしたりすることさえ可能です。
自分には起こらないと思っていませんか?もう一度考えてみてください。幸いなことに、昔ながらの常識とテクノロジーを組み合わせることで、デバイスを迅速かつ簡単に保護することができます。
ガジェットが脆弱になる可能性
情報セキュリティの専門家であり、プライスウォーターハウスクーパースのプリンシパルでもあるジョー・ノセラ氏によると、ノートパソコン、ネットブック、スマートフォン、iPad、あるいはこれらすべてを携えて旅行する場合でも、それらに対するリスクと防御策は基本的に同じだという。「個人用コンピュータについて考えるときに人々が考えるセキュリティ上の懸念の多くは、モバイルの世界にも当てはまります。」モバイルデバイスがより高度になるにつれ、メール、パスワード、その他の機密情報へのアクセスは、かつてパソコンが行っていたのと同じ方法で可能になる。
今日のデバイスはこれまで以上に強力になり、より多くの情報を保存できるため、リスクは増大していると、企業の安全なリモートアクセスシステムを支援するソフトウェア会社NCPエンジニアリングの情報セキュリティ専門家兼エグゼクティブバイスプレジデント、マーティン・ハック氏は述べています。さらに、個人情報とビジネス情報を同じデバイスで持ち歩く傾向も加わり、モバイルデバイスはハッカーにとってかつてないほど魅力的なものになっていると、ハッカーは述べています。
特定のモバイルデバイスの人気が高まるにつれ、ハッカーの標的になりやすくなります。「5年前は、脆弱性はMicrosoftベースのもので、PCが標的になっていました。Appleはそれほど頻繁に狙われることはありませんでした」とノセラ氏は述べています。「しかし、ここ1年半ほどで変化が見られます。AndroidまたはiPhoneベースの脆弱性が標的になるケースが増えています。2014年には、モバイルデバイスを利用するユーザーが増えるにつれて、これらのタイプの脆弱性が最も狙われるようになると予測しています。」
幸いなことに、デバイスとその中の情報を保護するのは難しくも、費用もかかりません。解決策は簡単です。問題は、昔のPogoの漫画で非常に雄弁に述べられているように、「我々は敵に出会った。そしてそれは我々自身だ」ということです。
モバイルデバイスを安全に保つための9つのヒント
1. ソフトウェアが最新であることを確認する。ノセラ氏によると、第一の防御策は、すべてのソフトウェアが最新であることを確認することだ。「ほぼすべてのソフトウェアリリースで、存在する多くのセキュリティ脆弱性が修正されています」と彼は言う。毎回の旅行前、あるいは少なくとも数週間ごとに、メーカーのウェブサイト(またはGoogleで検索)をチェックして、ソフトウェアまたはファームウェアのアップデートが利用可能かどうかを確認するのが良いだろう。新しいアップデートがあれば、早期導入者から大量の否定的なレビューが寄せられていない限り、ダウンロードするべきだ。
2. 強力なパスワードを使用する。「8文字以上の文字、数字、特殊文字の組み合わせを使用してください」と、Kroll Fraud Solutionsのオペレーションディレクター、ジェレミー・ミラー氏は言います。「辞書に載っている単語は避けてください。代わりに、好きな曲、レストラン、その他自分だけが知っているものなどの頭字語を使用してください。そして、パスワードを頻繁に変更してください。少なくとも6ヶ月に1回は」。自分でパスワードを作成するのが面倒な場合は、https://www.pcworld.com/downloads/file/fid,6380/description.html のようなプログラムが代わりに作成してくれます。
3. セキュリティ設定を変更しない。Nocera氏は、Android、iPhone、Blackberryのスマートフォンのデフォルトのブラウザ設定のほとんどは、そのままでもかなり安全だと指摘しています。「ブラウザのセキュリティ設定は、既にかなりしっかりしているので、わざわざ変更しないことをお勧めします」と彼は言います。
4. 暗号化されていない公共の無線ネットワークは避けましょう。このようなWi-Fiネットワークは、ログインに認証やパスワードが不要なため、誰でもアクセスでき、犯罪者も例外ではありません。犯罪者は、油断している人々を罠にかけるために、オープンなネットワークを構築することがあります。一方、暗号化されたネットワークは、アクセスにIDまたはパスワードが必要なネットワークです。Wi-Fiサービスを提供する多くのホテルやカフェでは、このようなネットワークが利用されています。これらのネットワークには、WEP(Wired Equivalent Privacy)とWPA(Wi-Fi Protected Access)という2種類のセキュリティ方式があり、WPAが最も安全です。しかし、暗号化されたネットワークにもリスクは存在します。例えば、ホテルやカフェでは、犯罪者が暗号化されたネットワークにアクセスできる可能性があります。そのため、このようなネットワーク上での行動には注意が必要です。
暗号化されていないネットワークへの接続を避けるだけでなく、使用していないときはWi-Fiをオフにしましょう。これにより、ネットワークへの自動接続を防ぐことができ、デバイスのバッテリー寿命も延びます。
5. Wi-Fiネットワークへのアクセス料金を支払ったからといって、必ずしも安全とは限りません。アクセス料金を支払ったからといって、必ずしも安全とは限りません。Wi-Fiネットワークへのアクセス料金を支払ったからといって、そのネットワークが安全であるとは限りません。
6. 「https:」で始まるURLはより安全ですが(ただし、安全というわけではありません)。個人情報や機密情報を共有するサイト(例えば銀行のサイトなど)にアクセスする際は、必ず安全に通信していることを確認してください。httpsの「s」は、Secure Socket Layer(SSL)経由でサイトに接続していることを意味します。簡単に言えば、インターネット経由でそのウェブサイトに送信されるすべてのデータが暗号化されていることを意味します。
ただし、SSL は絶対確実ではありません。暗号化されていないネットワーク接続を使用している場合は、中間者 (MITM) 攻撃を受ける可能性があります。MITM 攻撃とは、悪意のある人物が 2 つのパーティと個別に接続を確立し、「中間に入り込む」ことで、両者が直接会話していると信じ込ませる盗聴の一種です。
こうしたタイプの攻撃はまれですが、防御するためには、安全なネットワークに接続していることと、機密情報を入力するときにWeb サイトがhttpsを使用していることを確認してください。
さらに、ノセラ氏によると、ほとんどのメールサービスプロバイダーは、クリアテキストオプション(暗号化されていないデータを送信する)と暗号化(SSL)オプションの両方を提供しているとのことです。「SSLオプションが有効になっていることを確認してください」と彼は言います。
7. VPNを使用する。VPN(仮想プライベートネットワーク)にアクセスできる場合は、それを使用してください。VPNは組織のネットワークへの安全なアクセスを提供し、情報を保護する安全なレイヤーの背後でオンライン接続を可能にします。
8. クッキーと自動入力をオフにしましょう。モバイルデバイスが頻繁にアクセスするウェブサイトにパスワードやログイン情報を自動入力する場合は、その機能をオフにしましょう。便利な反面、プライバシーを脅かす可能性もあります。自動入力の利便性を取り戻すには、ほとんどのプラットフォームで利用可能な、保存したパスワードをより高度なセキュリティで管理できるサードパーティ製アプリを試してみるのも良いでしょう。例えば、Mac OS Xには、Keychainというパスワードマネージャーが内蔵されています。https://www.pcworld.com/downloads/file/fid,157063/description.htmlは、一部のWindowsバージョンで利用できる無料のオープンソースパスワードマネージャーです。iOSおよびAndroidスマートフォンでは、LastPass、1Password、SplashIDが利用可能です。これらのアプリを使用することは、自動入力を完全にオフにするほど安全ではありませんが、バランスを取るための一つの方法です。結局のところ、少しの不便さは、セキュリティ強化に大きく貢献するのです。
9. アプリには注意!アプリは素晴らしい上に、無料も多いので、ついついダウンロードしてしまいたくなります。しかし、ノセラ氏は、特にAndroidマーケットではダウンロードするアプリを慎重に選ぶべきだと警告しています。「AndroidアプリマーケットはAppleのApp Storeのような厳格な開発者ガイドラインがなく、よりオープンだからです」。アプリをダウンロードする前に、よく調べてください。開発者が信頼できるかどうか、そしてコメントをよく読んでいるかどうかを確認しましょう。
TaintDroidは、個人情報を送信するアプリを識別し、サードパーティ製アプリケーションが個人情報を要求していることをユーザーに通知できるAndroidツールです。ただし、Androidマーケットで提供されるアプリではありません。ユーザーは、アプリ分析会社が提供するフレームワークを使用して、手動でアプリをコンパイルおよびビルドする必要があります。
それでもハッキングされてしまったら…
すべてを正しく行っても情報が盗まれた場合はどうすればよいでしょうか? パスワードを(より強力なものに)変更し、影響を受けたネットワーク経由で何が起こったかを説明するメッセージを送信するだけで、多くの場合、被害を修復できます。デバイスが盗まれた場合はどうでしょうか? すべてのモバイルデバイスにリモートワイプまたは自動ワイプ機能が搭載されていることを確認してください。AppleのiPhoneとiPadには、AppleのMobileMeサービスがあります。GoogleAppsはAndroid向けのソリューションも提供しています。デバイスを紛失した場合や、侵害があったことがわかっている場合は、インターネットに接続された任意のコンピュータから迅速かつリモートで工場出荷時設定にリセットし、デバイスのすべてのデータを消去し、無期限にロックすることもできます。
