元Gizmodoライターのマット・ホーナン氏への最近の攻撃のような、個人データやオンラインアカウントへの大規模なハッキングを回避できますか?ホーナン氏のTwitterアカウントへの侵入を企んだハッカーたちは、このテクノロジーライターの個人用コンピューターデバイスとオンラインアカウントに壊滅的な被害をもたらしました。ハッカーたちは、彼のiPad、iPhone、Macのデータを遠隔操作で消去し、Googleアカウントも削除しました。この攻撃により、ホーナン氏は家族の写真を含む個人データの大半を失いました(彼は情報をバックアップしていませんでした)。これらのデータは復元不可能な可能性があります。
ワイアード誌のホナン氏の説明によると、今回の攻撃はアマゾンとアップルのセキュリティポリシーの不備が一因だったという。ハッカーはアマゾンとアップルのカスタマーサービス担当者を騙し、ホナン氏のパスワードをリセットしてアカウントを乗っ取ることに成功した。
これは痛ましい事件であり、オンライン上に機密データを保存している誰にでも起こり得ることです。ホーナン氏が標的にされたのは、彼が書いた記事やテクノロジーに対する見解のためではありませんでした。あるハッカーは事後、ホーナン氏に、単に彼のTwitterユーザー名が気に入っていて、それを使いたかったから標的になったのだ、と告げました。
同様の事態が発生するリスクを最小限に抑えるためにできることは次のとおりです。
バックアップ、バックアップ、バックアップ
写真、動画、ワープロ文書、その他のファイルなど、貴重なデータの損失を防ぐための最も基本的な対策は、データのバックアップです。しかし、自宅のデスクにある外付けハードドライブにすべてを保存するだけでは十分ではありません。自宅にローカルバックアップを1つ、さらにセキュリティ強化のために別のストレージメディアにオフサイトバックアップを1つずつ用意しておく必要があります。多くの場合、これはCarboniteやSpiderOakなどのクラウドベースのサービスを使用することを意味します。これらのサービスが高額すぎる場合は、必要なストレージ容量とデータに求めるセキュリティレベルに応じて、DropboxやSkyDriveなどの無料オプションも有効です。つまり、自宅と別の場所に1つずつ、合計2つのバックアップが必要なのです。
Web登録をプライベート化する
ホナン氏のセキュリティ上の弱点の一つは、ウェブサイトのドメイン登録が保護されていなかったことです。つまり、WHOISサイトにアクセスすれば誰でも彼のドメインアドレスを入力でき、彼の居住地を正確に特定できてしまうのです。ホナン氏の請求先住所は、彼のAmazonアカウントとApple IDアカウントにアクセスするために使われた重要なデータの一つでした。ウェブサイトを所有していて、登録が自宅住所に紐付けられている場合は、個人情報を隠すために追加料金を支払うようにしてください。
アカウント復旧メール
ハッカーの主な攻撃方法は、オンラインサービスのアカウント復旧オプションを利用して侵入を試みることです。これがホナン氏の悪夢の発端であり、2008年のサラ・ペイリン氏のYahooアカウントのハッキングや2009年の企業Twitterハッキングなど、これまでにも何度も発生しています。こうした攻撃から身を守る最善の方法は、Gmail、Hotmail/Outlook、Yahooなどの専用の無料メールアカウントをアカウント復旧用として使用することです。アカウントに[email protected]や[email protected]などの分かりやすいメールアドレスを使用していないか、また他のメールアドレスと類似していないかを確認してください。
Hotmail/Outlook.comをご利用の場合は、古いHotmailアカウント内にエイリアスアドレスを作成できます。ただし、Amazon、Apple、Microsoftなどの機密性の高いアカウントの連絡先としてHotmailアドレスが既に使用されている場合は、この方法は使用しないでください。
機密アカウント間のファイアウォール
もう一つの対策として、セキュリティ侵害が雪だるま式に拡大し、あるアカウントへのアクセスがハッカーに別のアカウントへのアクセスを許してしまう事態を防ぐことが挙げられます。特にAmazon、Apple、Google Checkout、PayPal、Xbox.comなど、クレジットカードや銀行口座情報を保存しているアカウントなど、機密性の高いアカウントには、異なる復旧用メールアドレスを使用してください。
2段階認証
Gmailをメインのメールアドレスとしてお使いの場合は、アカウントへのログインに2段階認証をご利用ください。2段階認証では、アカウントにアクセスする前に短い確認コードを入力する必要があります。このコードは、スマートフォンアプリ、SMS、または音声メッセージで携帯電話に送信されます。確認コードがないと、ハッカーはアカウントにアクセスできません。2段階認証の詳細については、Gmailのヘルプページをご覧ください。Yahoo!も2段階認証を提供しており、Hotmailは公共のPCで安全にログインできるようにワンタイムパスワードを提供しています。
ハッカーがカスタマー サービス担当者を騙してデータを渡してしまうのを防ぐことはできないかもしれませんが、すべてを可能な限り別々に保管し、データをバックアップしておけば、災害が発生したときにすべてを失うリスクを最小限に抑えることができます。
最新の技術ニュースと分析については、 Twitter とGoogle+でIan Paul ( @ianpaul ) 、 Twitter でToday@PCWorld をフォローしてください。
