画像: ゲッティイメージズ
またしても起こりました。またもや大手ウェブサービスがデータベースの制御を失い、今やあなたは悪意ある者たちに先手を打とうと躍起になっています。データ侵害は忌まわしいものですが、今後も続くでしょう。幸いなことに、盗まれたデータがどれほど機密性の高いものであっても、必ずしもパニックに陥る必要はありません。潜在的な脅威への露出を最小限に抑えるために、通常、非常に簡単な手順をいくつか実行できます。
やり方は次のとおりです。
2018 年 9 月 24 日更新:米国ではクレジット凍結が無料になりました (一時的な解除も同様)。新しい法律を反映するために、ガイドのステップ 4 を更新しました。
ステップ1:損害を判断する
Thinkstockまず最初に、ハッカーが何を盗んだのかを突き止めなければなりません。例えば、ユーザー名とパスワードが盗まれた場合、クレジットカード会社に通報しても意味がありません。
ニュース記事や企業の声明には、何が漏洩したのかが明確に記載されているはずです。メールアドレスだけだったのでしょうか、それともパスワードデータも漏洩したのでしょうか?クレジットカード情報(該当する場合)やプライベートメッセージなどの個人情報はどうだったのでしょうか?
これは効果的な復旧計画を作成するための最初のステップですが、何らかの行動を起こす前に、重要なフォローアップの質問をする必要があります。
ステップ 2: 悪意のある人物があなたのデータを使用できるか?
ハッカーは常にデータを盗みますが、「ハッシュ化」「ソルト化」「暗号化」といったセキュリティ対策のおかげで、盗まれたデータは多くの場合使用不可能です。データが「クリアテキスト」形式の場合、暗号化が一切行われておらず、Word文書や通常のメールメッセージと同じくらい簡単に読み取りや操作が可能です。
一方、ハッシュデータは、平文に戻すことができないように暗号化されたデータです。ハッシュ化は、例えばパスワードデータベースなどでよく使用されます。
ただし、すべてのハッシュ化手法が同じというわけではなく、場合によっては元に戻せることもあります。企業は第二の防御策として、ソルトと呼ばれるランダムデータを追加して解読を困難にすることがあります。ハッシュ化の肝心な点は、企業がそのデータが使用可能であると考えているかどうかを確認するために、もう少し詳しく調べる必要があるということです。
最後に、暗号化は双方向のスクランブル プロセスであり、「キー」(通常はパスワードまたはパスワード ファイル) を持つユーザーのみがデータを復号化できるようになっています。
ハッカーがハッシュ化または暗号化されたデータを入手した場合でも、安全のためにパスワードを変更するよう企業がアドバイスすることがあります。
ステップ3: パスワードを変更する
Thinkstockパスワードを変更する必要がある場合は、積極的に行動してください。可能であれば、会社からの警告メールやメッセージを待たずに、すぐにパスワードを変更してください。
他のサイトで同じパスワードを使用している場合は、そちらでもパスワードを変更してください。パスワードを使い回していると、一度のデータ漏洩で他のアカウントも簡単に停止されてしまう可能性があります。絶対に使い回さないでください。
ステップ3a: パスワードマネージャーの使用を開始する
まだパスワードマネージャーを使っていないなら、今こそ使い始める絶好の機会です。これらのプログラムは、推測しにくい新しいパスワードを作成し、あなたがお持ちのオンラインアカウントごとに保存できます。また、パスワードは暗号化され、(通常は有料ですが)すべてのデバイスで利用できるようになります。
おすすめのパスワードマネージャーをまとめてご紹介していますので、ぜひお試しください。現在のおすすめはLastPassですが、Dashlaneも負けていません(ただし価格は高めです)。
パスワードだけではもはや十分ではありません。そのため、2要素認証(2FA)に対応しているアカウントでは、2要素認証を有効にすることをおすすめします。2要素認証とは、正しいパスワードを使用していても、ウェブサービスがアカウントへのアクセスを許可する前に、6桁の2番目のコードを入力することを意味します。
これは悪意のある人物の行動を遅らせるのに非常に効果的な方法です。しかし残念ながら、これはあなたにも同じ影響を与えます。ほとんどのサービスでは、デバイスごとに30日ごとに2FAコードの入力が求められますが、場合によっては1つのデバイスから1つのブラウザで1回だけ入力するだけで済みます。つまり、それほど深刻な問題ではありません。
二要素認証を利用する最良の方法は、これらのコードを生成するための専用アプリまたはデバイスを使用することです。SMSコードの受信は、比較的軽微な攻撃に対して脆弱であるため、推奨されません。
2 要素認証アプリの選択にサポートが必要な場合は、最高の 2FA アプリのまとめをご覧ください。
ステップ3c: 専用のパスワード回復メールを作成する
Thinkstock多くのウェブサイトでは、メインのアカウントメールアドレスとは別に、専用の再設定用メールアドレスを設定できます。これは、ウェブサイト上の「パスワードをお忘れですか?」リンクをクリックした後に、パスワードをリセットするためのリンクが表示されるメールアドレスです。
アカウント復旧メール専用のメールアドレスを用意し、個人情報と紐付けないようにするのが最善です。例えば、GmailがJANdrewsの場合、[email protected]は使用しないでください。普段使っているメールアドレスをアカウント復旧に使用した場合、ハッカーがそのメールアドレスを狙う可能性があり、侵入されればオンライン生活を乗っ取られる可能性があります。
他のメール アカウントと同様に、回復メールが推測しにくいパスワードと 2 要素認証で保護されていることを確認してください。
Thinkstockクレジットカード番号が不正に取得された場合は、銀行またはクレジットカード会社に通知する必要があります。特に大規模な情報漏洩の場合は、銀行が既に把握している可能性が高いですが、それでも被害を受けたことを知らせておくことをお勧めします。
必ず担当者に連絡し、何が起こったのかを伝えてください。会社はおそらくカードをキャンセルし、新しいカードを発行してくれるでしょう。
すぐに行動に移しましょう。不正請求の責任を負わないように、銀行またはクレジットカード会社にすぐに連絡してください。デビットカード番号が盗まれた場合は、この手順がさらに重要になります。不正請求が発生するたびに口座から現金が引き落とされるだけでなく、デビットカードにはクレジットカードのような回復保護がないからです。
ステップ4a: 信用調査機関に行動を起こす
Equifax、Experian、TransUnionの3大信用調査機関で、あなたの信用記録に不正利用の警告を発しましょう。さらに一歩進んで、あなたの名前と社会保障番号を使って他人が口座を開設できないように、記録を無料で凍結することも可能です。(あなた自身も対象となりますが、凍結を一時的に無料で解除することもできます。)
3つの信用情報機関からそれぞれ毎年無料で信用情報レポートを受け取る権利をぜひご活用ください。4ヶ月ごとにレポートを受け取るなど、時間差を設けることで、年間を通して信用格付けを常に把握できます。
ステップ5:使い捨てカードを検討する
もう一つの良い方法は、実際の銀行口座に紐付けられているものの、実際にはデビットカードではない、期間限定の使い捨てデビットカードを使うことです。Privacy.com ではこれが可能で、これは自分を守るための優れた方法です。実際のカード番号を使う代わりに、Netflix専用カードや最大100ドルまでしか使えないカードなど、様々な制限が設定された使い捨てカードを使うことができます。大きな買い物のために使い捨てカードを作ることもできます。これは非常に便利なサービスで、万が一使い捨てカードが漏洩した場合でも、削除してやり直すことができます。
気楽に呼吸しましょう
大規模なデータベース侵害は恐ろしいものですが、定期的に発生するため、問題は侵害を受けるかどうかではなく、いつ侵害を受けるかです。幸いなことに、少しの予防策を講じることで、個人情報の盗難に伴う厄介な事態を回避できる可能性があります。
