8月にワイアード・ニュースの記者マット・ホナンがデジタルライフをハッキングされ、事実上完全に消去されたとき、彼が経験した最も恐ろしい出来事は、大量のデータ損失というだけではなかった。それよりも恐ろしかったのは、ハッカーたちが彼のデジタルアカウントに侵入した手口だった。
ハッカーたちは巧妙なソーシャルエンジニアリングの手法を用いてホナン氏になりすまし、AmazonとAppleのカスタマーサポートから重要な個人情報を抜き出すことに成功しました。そして、重要なデータを手に入れたハッカーたちは、ホナン氏のGoogleアカウントをロックし、Twitterのストリームを乗っ取り、Apple ID番号を掌握し、彼のコンピューターデバイスを消去しました。
少なくとも、一時的には人生を破壊するような出来事でした。
もしハッカーがあなたの人生を破滅させようとしたら、それが個人情報の盗難であれ、あるいはホナンのような単純なデータ消去であれ、その目的を達成するのはどれほど難しいでしょうか?答えは、おそらくあなたが思っているよりもずっと簡単だということです。
あなたは簡単な標的ですか?
パスワードと個人データを管理するDashlane社が委託したハリス・インタラクティブ社による最近の世論調査によると、アメリカのオンラインユーザーの大半は、自分の個人データが知らないうちにオンライン上で利用されるのではないかと懸念している。調査対象となった2,208人の成人のうち、約88%が少なくとも「ある程度懸念している」と回答し、29%が「非常に懸念している」と回答した。さらに、回答者の5人に3人が、ハッキングされる危険性を懸念していた。
シマンテック・セキュリティ・アンド・レスポンスのグループ・マネージャー、ジョン・ハリソン氏は、人々は自分が思っている以上に多くの情報を共有しているので、心配するべきだと語る。
ソーシャル ネットワーク、公的記録、注目を集めるセキュリティ侵害が蔓延しているため、潜在的に機密性の高い情報がインターネット上に大量に漂っています。
「一つ一つの情報がパズルを組み立てていくんです」とハリソンは言う。「一度に全てを公開するわけではありませんが、最終的には全てが繋がっていくんです。例えば、Facebookに生年月日を全部載せていなくても、高校の卒業年度を調べて、2つの数字を足し合わせて理解するのは難しくありません。」
つまり、あなたはあまり多くの情報を共有していると思っていないかもしれませんが(ちょっとした情報、あちらこちらにちょっとした情報)、ハッカーにとっては、簡単に収集できるオンライン プロフィールを作成していることになります。
簡単な方法で自分を守る
メールの送信、写真のアップロード、SNSの頻繁な利用、ショッピングなど、インターネットを何らかの形で利用している場合、あなたのオンラインプロフィールは既にインターネット上に拡散している可能性があります。また、たとえそれほど頻繁にインターネットを利用していなくても、デジタル化された公的記録を通じて、あなたの個人情報の一部がオンラインで閲覧可能になっている可能性があります。例えば、住宅ローンの有無や、最近結婚または離婚したかどうかなど、関心のある人が簡単に調べてしまう可能性があります。
辞書に載っているような5文字のパスワードは簡単にハッキングされてしまうことはご存知でしょうし、もしかしたらもっと侵入されにくいパスワードを使っているかもしれません。しかし、複雑な数字と文字の組み合わせを記憶する時間や余裕はないでしょう。そこで、ハッキングされやすさを大幅に減らす、すぐに実践できるセキュリティ対策をいくつかご紹介します。
自分自身を検索してみましょう。心配になる前に、自分自身を検索して、自分に関する情報がどれだけ公開されているかを把握しておくことをお勧めします。Googleに自分の名前(引用符付きでもなしでも)を入力し、住所、電話番号、メールアドレス、役職、会社名、出身校などの関連キーワードも入力してみましょう。
見つけた情報を確認し、ハッカーの視点で情報を見てみてください。あなたの人生を断片的に理解できるほどのデータがそこに含まれていたでしょうか?もしそうなら、個人のセキュリティを強化するための対策を講じる必要があります。
パスワードの代わりにパスフレーズを使用する:パスワードはセキュリティ上の注意点です。最も効果的なパスワードは、文字、数字、特殊文字(感嘆符や疑問符など)を組み合わせたコンピューター生成のものです。しかし残念ながら、生成された英数字の文字列は、ほとんどの人にとって覚えるのが非常に困難です。しかし、ほとんどのパスワードはブルートフォース攻撃、つまりコンピューターにあらゆる文字の組み合わせを解読させる方法でハッキングされるため、長いパスワードは解読に時間がかかるという理由だけで、より安全です。
例えば、Intel Core i7プロセッサでは5文字のパスワードを解読するのに数時間しかかかりませんが、7文字のパスワードを解読するには10日以上かかります。そのため、セキュリティ専門家はパスワードではなくパスフレーズの使用を推奨しています。 適切なパスフレーズの作成方法については、Alex Wawroによるパスワード入門をご覧ください 。
「ドライブバイダウンロード(悪意のあるリンクをクリックするとコンピュータにダウンロードされるマルウェア)は、多くの場合、ソフトウェアの既知のバグを悪用して動作します」とハリソン氏は言います。「これらのバグは通常、ソフトウェアの最新バージョンで修正されていますが、古いバージョンを使い続けている限り、役に立ちません。」
アカウントの優先順位付け:すべてのアカウントに複雑なパスフレーズを覚えるのは難しいかもしれませんが、それは問題ありません。マカフィーのグローバル脅威インテリジェンス部門で製品マーケティング担当シニアディレクターを務めるダグ・マクリーン氏によると、平均的なアメリカ人のオンラインアカウント数は100を超えますが、そのすべてが重要なわけではありません。
すべてのアカウントに異なるパスワードを作成するのではなく、重要なアカウント(メールアカウント、オンラインバンキングアカウント、ソーシャルネットワーク、その他機密情報を含むアカウント)にのみ、固有のパスワードを作成してください。掲示板などの比較的重要度の低いアカウントでは、安全でないハッキングされやすいパスワードを使用しても問題ありません。
マクリーン氏は、あまり気にしないアカウント用に「迷惑メール」用のメールアドレスを作成することも提案しています。この迷惑メール用のメールアドレスを使って、掲示板、コンテスト、ニュースレターなどに登録できます。そうすれば、仮に迷惑メール用のアカウントが不正アクセスされても、ハッカーにあなたの本当のメールアドレスやパスワードを知られることはありません。
嘘:迷惑アカウントと言えば、ランダムなウェブサイトにどんな情報を提供するかには注意が必要です。確かに銀行はあなたの自宅住所を知る必要がありますが、掲示板に郵便番号や生年月日を全部知る必要があるでしょうか?ウェブサイトがあまりにも多くの情報を要求して画面を通過できない場合、ハリソン氏は嘘をつくことを勧めています。結局のところ、掲示板はハッキングされやすいことで有名であり、実際にはあなたが特定の年齢以上であることを確認したいだけなのです。
オフラインで身を守る: マクリーン氏によると、オフラインでの個人情報窃盗は、オンラインの個人情報窃盗よりもはるかに多く発生しています。その理由は、メールアドレスにはパスワードが設定されていますが、郵便受け、ゴミ箱、そして落とした財布にはパスワードが設定されていないからです。オフラインで身を守るために、マクリーン氏は、鍵付きの郵便受け(まだ持っていない場合は)を用意すること、重要な請求書や書類はすべて捨てる前にシュレッダーにかけること、そして社会保障カードは持ち歩かないようにすることを推奨しています。
パスワードマネージャーを使う:パスワードマネージャーは少し設定が必要ですが、パスワードやパスフレーズの整合性に不安がある場合は、使う価値があります。Dashlane、1Password、LastPassなどのパスワードマネージャーは、すべてのパスワードをマスターパスワードで解除できる、暗号化された小さなプログラムに保存するだけでなく、自分でも分からない安全なコンピューター生成パスワードを作成することもできます。
パスワードマネージャーを選ぶ際には、スマートフォンやタブレットを含むすべてのデバイスと互換性のあるものを選ぶことが重要です。Dashlane、1Password、LastPassはWindows、Mac OS X、iOS、Androidに対応しており、LastPassはLinux、BlackBerry、Windows Phone、WebOS、Symbianにも対応しています。パスワードマネージャーはフォームデータを保存できるため、クレジットカード情報をWeb上に保存する必要はありません。
信用情報報告書を凍結する:マクリーン氏によると、信用情報報告書を凍結することは、個人情報の盗難を防ぐ最も効果的な方法です。30歳以上で、結婚や離婚を予定していない場合は、おそらく新しいクレジットカード、ローン、住宅ローンを申し込むことはないでしょう。そのため、信用情報報告書をすぐに利用できる状態にしておく必要はありません。
信用情報報告書を凍結するには、3大信用調査機関(Equifax、Experian、TransUnion)にそれぞれ連絡し、フォームに記入し、身分証明書を提示し、少額の手数料(州によって異なりますが約10ドル)を支払う必要があります。その後、PINまたはパスワードが発行され、必要に応じて信用情報報告書を(一時的または永久的に)「凍結解除」できます。マクリーン氏によると、信用情報報告書の一時凍結は通常1分もかかりません。
米国では、個人情報盗難の被害者に対する信用報告書の凍結は無料です。
少しのセキュリティでも大きな効果があります
マクリーン氏は、最低限の安全対策を講じることはクマを追い抜くことに似ていると示唆している。つまり、クマより速く走る必要はなく、同じように追いかけられている友人より速く走ればよいのだ。
ハッカーは賢いですが、多少の怠惰さも持ち合わせています。ですから、あなたがよほどの有名人でない限り、データ防御が突破しにくいと判明すれば、ハッカーは攻撃を諦める可能性が高いでしょう。マット・ホナン氏をハッキングしたハッカーたちは、攻撃は個人的な目的ではなく、単に彼のTwitterアカウントに侵入したかっただけだと認めています。なぜなら、「@mat」という3文字のハンドルネームがTwitterのスーパーユーザーの所有物であることを意味していたからです。それ以上でもそれ以下でもありません。
最終的には、5 文字のパスワードの代わりに 8 文字のパスワードを作成するなど、小さなセキュリティ対策を講じるだけでも、ハッカーが次のデジタル ドアに進むのに十分なほど個人情報を保護できます。
[イラスト:マイケル・バイヤーズ]
