4月下旬、ソニーのPlayStation Network(PSN)、またはソニー・オンライン・エンタテインメントのユーザーが、一連のデータ侵害の被害に遭いました。この侵害により、1億人の顧客に関する機密情報と数万件のクレジットカード番号が流出しました。この情報漏洩は世界中で大きく報道されましたが、この種のインシデントは想像以上に頻繁に発生しています。
現時点で、個人データが一度も侵害されていないのであれば、それは非常に幸運なことです。しかし、インターネットに接続せず、ロッキー山脈の山小屋でラッダイト的な生活を送る以外に、データを保護し、侵害の影響を最小限に抑えるにはどうすればいいのでしょうか?その方法をご紹介します。
データ侵害について
2011 年だけでも、Epsilon、RSA Security、テキサス州、Ashampoo、Sony の PlayStation Network などで発生したデータ侵害により、数千万人のユーザーの個人情報が漏洩したり、何らかの形で危険にさらされたりしました。
データ侵害は様々な方法で発生する可能性があります。テキサス州会計監査官事務所のケースでは、公開データベースの設定ミスにより機密情報がWeb上に公開されました。RSAセキュリティのデータ侵害では、Adobe Flashのゼロデイ脆弱性を悪用した単純なフィッシング攻撃によって、攻撃者が内部ネットワークにアクセスできました。
一部の侵害については調査が進行中で詳細が不明瞭ですが、ほぼすべてのケースにおいて、責任を負う企業または団体は何らかの過失を犯していました。とはいえ、十分な時間と専任の攻撃者がいれば、どんなネットワークも侵入不可能ではありません。
データ侵害はあなたにどのような影響を与えますか?
データ侵害の影響は、2つの要素によって決まります。それは、どのような情報が侵害されたか、そして攻撃者が盗んだ情報をどのように利用するかです。データ侵害によって漏洩するのはメールアドレスだけの場合もあれば、クレジットカード番号や銀行口座番号など、より詳細で価値の高い情報が攻撃者に提供される場合もあります。
侵害がメールアドレスの漏洩に限定される場合、真の懸念はフィッシング攻撃の可能性だけです。これは、ハッカーが数百万件のメールアドレスを盗んだEpsilon社のデータ侵害のケースに当てはまります。しかし、メールアドレスがアクティブであり、特定の企業と関係があることが分かれば、攻撃者ははるかに説得力のあるフィッシング攻撃を仕掛けることができ、成功率もはるかに高くなります。
データ侵害によって比較的詳細な情報が漏洩した場合、例えばテキサス州会計監査官のデータ侵害では、氏名、住所、生年月日、社会保障番号、運転免許証番号などが公に公開され、個人情報窃盗は深刻な懸念事項となります。攻撃者、あるいは攻撃者から情報を入手した人物は、こうしたデータを利用してあなたになりすまし、あなたの名前で新たな不正アカウントを開設する可能性があります。
最悪のデータ侵害は、攻撃者が実際の銀行口座番号やクレジットカード番号を入手するケースです。攻撃者は、クレジットカード情報を使って商品を購入したり、アカウントのパスワードなどの適切な追加情報を入手して銀行口座から資金を引き出したりすることができます。
個人情報を保護する
情報保護の責任の少なくとも一部は、あなたにあります。確かに、組織にデータを託す際には、その受取人がそのデータの保護に細心の注意を払うことを期待しますが、結局のところ、あなたほどあなたのデータを気にかけている人はいません。攻撃者を除いては。
まず、いつかはデータが盗まれることを想定しておくべきです。これは、オンラインにおける安全運転のようなものです。この考え方に基づいて行動し、個人情報や金融情報を共有する企業を選べば、どの企業がそのレベルの信頼に値するのか、より慎重に判断できるようになります。
オンラインでは、多くのウェブサイトが利用するために情報の提供を求めています。登録ユーザーのみが特定のコンテンツにアクセスできるウェブサイトもあれば、投稿やコメントを投稿する前に登録とログインが必要なウェブサイトもあります。しかし、だからといって必ずしも正しい情報を提供しなければならないわけではありません。
まず、メインのメールアドレスを誰とでも共有しないでください。ウェブサイトへの登録専用のダミーのウェブメールアドレスを設定してください。そうすれば、メールアドレスが売買されたり盗難されたりしても、スパムやフィッシング攻撃はダミーのアドレスに届くので、無視できます。
次に、できる限り実名を入力しないでください。ウェブサイトへの登録時のみ、偽のペルソナを作るという方法もあります。実名、あるいはそれに近い名前(例えば「トニー」ではなく「アンソニー」など)を使うこともできますが、偽の住所と電話番号を入力し、先ほど述べたダミーのウェブメールアドレスを使用します。そうすれば、サイトがハッキングされても、実名が危険にさらされることはありません。
同じパスワードを使わない
人々が犯しがちな最大のミスの一つは、複数のサイトで同じユーザー名とパスワードを使い回すことです。そうしてしまうと、あなたが関係のある一つのサイトからあなたの情報を盗み出した攻撃者が、あなたのオンラインライフの全てを一瞬にして掌握してしまうことになります。
10個、20個、あるいは50個もの異なるユーザー名とパスワードを覚えるのは、間違いなく大変な作業です。重要なサイト、つまりあなたがよく利用するサイトや、銀行口座やクレジットカード情報といった機密情報へのアクセスを許可するサイトでは、異なるユーザー名とパスワードを使用することをお勧めします。
一度登録して二度とアクセスしないような小規模なサイトでは、すべてのサイトで同じユーザー名とパスワードを使い回しても問題ありません。そうすることで、推奨されるセキュリティ対策を遵守しながら、覚えておく必要のあるユーザー名とパスワードの組み合わせの数を最小限に抑えることができます。
安全なパスワードを作成するためのヒントについては、「気が狂わずにより良いパスワードを作成する方法」を参照してください。
フィッシング攻撃の被害に遭わないように
まずはシンプルなルールから始めましょう。スペルミスや文法の誤りがあるメールを受け取ったら、削除しましょう。正規の企業でもスペルミスや文法の誤りはありますが、9割は、言葉遣いの悪いメールは、その言語を流暢に話せない攻撃者によるものです。
しかし、一部のフィッシング攻撃はより巧妙で、ほとんどのワードプロセッサに搭載されているスペルチェック機能や文法チェック機能を利用して、こうした問題を修正しようとする場合があります。巧妙に作られたフィッシングメールは、見た目も内容も非常に説得力があります。
それでも、フィッシング攻撃を回避するのはそれほど難しくありません。重要なルールは、ユーザー名、パスワード、アカウント番号、その他の機密情報をメールで絶対に提供しないことです。正当な企業がそのような情報の提供を求めることは決してありません。もしそのような情報を求めるような企業は、あなたと取引する価値がありません。
もう一つの重要なルールは、メール内のリンクを決してクリックしないことです。フィッシング攻撃には、偽装された一見正当なウェブサイトへのリンクが含まれていることがよくあります。メールには個人情報を「修正」したり「新しいパスワードを作成」するように指示されているかもしれませんが、実際には攻撃者はあなたが入力した情報を収集しているだけです。
アカウントに注意してください
銀行口座が空っぽになったり、攻撃者に5,000ドルのクレジットカードの限度額を使い切られたりしないための一つの方法は、そもそもそのような情報をいかなるサイトにも提供しないことです。使い捨てのクレジットカード、または250ドルの限度額に制限された、Webでの購入専用のクレジットカードを用意しましょう。そうすれば、万が一不正アクセスされても、被害額は250ドル程度で済みます。そして、犯罪者があなたの口座からあなたの大切な貯金をこっそり引き出していたという事態に陥るリスクもありません。
一部の銀行では、オンライン購入に使用できる一時的な別名カード番号に似た仮想クレジットカードも提供していますが、傍受されたり盗難されたりした場合は現実世界での価値はありません。
早期発見が生き残る鍵です。銀行やクレジットカードの明細を精査し、不審な行動を特定してできるだけ早く対処しましょう。そうすることで、被害を最小限に抑えることができます。また、アカウントが侵害されてから攻撃が検知・報告されるまでの時間が長ければ長いほど、銀行やクレジットカード会社の対応は難しくなります。
