人間は、どんなに望んでも絶対に間違いを犯さない存在ではありません。セキュリティ専門家も例外ではありません。トロイ・ハント氏が昨日明らかにしたように。なんと、HaveIBeenPwned(自分がどのようなデータ侵害を受けたかを確認できるサイト)の創設者であるレジェンドが、Mailchimpにログインしようとした際にフィッシング詐欺に遭ったのです。
「巧妙なフィッシング詐欺がMailchimpのメーリングリストを盗み出した」と題された投稿で、ハント氏は事態の詳細を詳細に説明しています。まず、始まり(旅行中の時差ぼけと疲労)から始まり、最後(ハッカーが彼の認証情報を入手し、ログインした後、彼のニュースレターに関連付けられた16,000件のメールアドレスすべてをエクスポートした)までを説明しています。もしあなたが被害に遭った場合、ハント氏は既にこれらのメールアドレスをHaveIBeenPwnedのデータベースに登録しています。このリストには、既にニュースレターの購読を解除した人も含まれます。Mailchimpはこれらのメールアドレスをデータベースから削除していません。
事件の詳細は投稿でご覧いただけますが、私が最も感銘を受けたのは、ハント氏の明快な説明から得られる教訓です。注意すべき点だけでなく、万が一のミスをしても安全を確保できるよう、デジタルライフをどう構築すべきか、といった点も教えてくれます。早速見ていきましょう。
警告サインに頼らない
ハント氏の話を読み進めていくと、詐欺には必ずその兆候が表れていることが分かります。ハント氏の場合、小さな兆候がいくつもありました。
- メールにおける偽りの緊急性
- メールの送信者は偽物だった
- 1Passwordの自動入力が不正サイトで起動しなかった
ハント氏のようなレベルのセキュリティ専門家であれば、通常であればこうした細部にまで気を配るはずだ。しかし、彼は旅行中に疲れていた。これは誰にでも起こり得る状況だ。
トロイ・ハント / HaveIBeenPwned
ここでの教訓は、緊急のメールやメッセージを受け取った場合は、提供されたリンクを飛ばし、アカウントに直接ログインすることです。(同様に、銀行の明細書やクレジットカードの裏面に記載されている正式な電話番号を使って電話をかけ直すか、少なくとも提供された番号をGoogleで検索して、その番号が本物であることを確認してください。)この戦略は、24時間365日、詐欺を見抜くことに100%の注意を払わなければならないという状況に、ある程度の余裕を与えてくれます。
パスキーはフィッシング攻撃に強いため、ログイン方法としてはより適しています。ハードウェアキー(YubikeyやGoogle Titan セキュリティキーなど)のような、より強力な2FA方法も同様です。
サービスを辞めてもデータ漏洩から保護されるわけではない
ハント氏が紛失したデータを解析中に発見したように、すべての企業がユーザーが退会してもデータを削除するわけではない。実際、Mailchimpの場合は、登録解除したユーザーのメールアドレスを意図的に保持し、リストに再追加できないようにしているようだ。
ほとんどのサービスには、データベースからあなたを削除する手段があります。(州政府や連邦政府の中には、簡単に削除できる手段を義務付ける法律(忘れられる権利とも呼ばれます)があります。)しかし、あなたがその要求をしない限り、あなたは膨大なデータの一部となり、悪意のある人物に盗まれる危険性があります。
そして、ハッカーがあなたについて持っているデータ(あなたの興味、買い物をする場所など)が多ければ多いほど、あなたをターゲットにしやすくなります。
マスクされた電子メールにより、実際のアドレスが Web サイトから隠されます。
マイケル・アンサルド/ファウンドリー
ここでの教訓は、ウェブサイトとの関係を完全に断つには、データの削除を依頼する必要があるということです。遺伝子検査のような極めて機密性の高いデータを扱う場合には、この手順は有効です。それ以外の場合は、代わりにメールマスクの使用を検討してください。各サービスごとに固有のメールエイリアスが付与されるため、たとえいずれかのサービスが侵害されたとしても、そのデータを使って簡単にあなたのプロフィールが構築されることはありません。
誰にでも起こり得る
ハント氏の経験は、詐欺は誰にでも起こり得るということを思い出させてくれる。そして、もしあなたが詐欺に遭ったとしても、それはあなたが愚かだからではない。単に忙しかったり、ストレスを感じていたり、あるいは何かに気をとられすぎて目の前のことに気づかないだけなのかもしれない。
しかし、警戒を怠ってはいけません。セキュリティの専門家がフィッシング詐欺に引っかかったからといって、私たち全員が破滅するわけではありません。むしろ、あなたも他の人と同じように、巧妙な策略をうまく回避できる可能性はあります。私がセキュリティについて書くとき、それは権威ある専門家としての立場からではありません。私自身も他の人と同じように被害に遭う可能性があることを自覚しています。だからこそ、皆さんが警戒できるよう、役立つ情報があれば何でも共有しています。
著者: Alaina Yee、PCWorld 上級編集者
テクノロジーとビデオゲームのジャーナリズムで14年のキャリアを持つアライナ・イーは、PCWorldで様々なトピックをカバーしています。2016年にチームに加わって以来、CPU、Windows、PCの組み立て、Chrome、Raspberry Piなど、様々なトピックについて執筆する傍ら、PCWorldのバーゲンハンター(#slickdeals)としても活躍しています。現在はセキュリティに焦点を当て、人々がオンラインで自分自身を守る最善の方法を理解できるよう支援しています。彼女の記事は、PC Gamer、IGN、Maximum PC、Official Xbox Magazineに掲載されています。
