ライドシェアサービスのUberは先週末、社内ネットワークへの侵入を認めました。ハッカーはUberのソースコード、メール、Slackなどのシステムにアクセスしたとされています。同社はその後すぐに、顧客データは漏洩していないと発表しましたが、この主張はすべてのセキュリティ専門家が信憑性があるとは考えていません。
もちろん、Uberアカウントの認証情報を変更し、以前のパスワードを他の場所で使用していないことを確認する必要があります。同社は過去に大規模な顧客データ漏洩を約1年間隠蔽してきた経緯があるため、これは簡単で賢明な予防策です。しかし、今回の事件から得られる重要な教訓はそれだけではありません。
このハッキングはソーシャルエンジニアリングによるもので、二要素認証(2FA)を含むセキュリティ対策が無視されたと報じられています。パスワードが漏洩した従業員は、大量の2FA認証リクエストを受け取りました。そのうちの1つは、ハッカーがUberのIT担当者を装い、WhatsApp経由で従業員に連絡を取ったことでようやく承認されました。
この結果は、強力で固有のパスワードと二要素認証を組み合わせることが効果的ではないことを意味するものではありません。ソーシャルエンジニアリングは非常に強力で、簡単に犯してしまうミスを狙うというだけです。実際、今回のUberのセキュリティ侵害は、オンラインでより効果的に身を守るための3つの重要な方法を浮き彫りにしています。
1. 常に立ち止まって考える
エド・ハーディー / Unsplash
パスワードは、オンラインアカウントへの不正アクセスを防ぐ第一の防御線です。二要素認証は、パスワードが漏洩した場合に備えて、第二の防御層となります。
携帯電話または携帯電話上のアプリにリクエストを送信する 2FA 形式を選択した場合は、パスワードを正常に入力したときにのみ認証リクエストがポップアップ表示されます。
あなただけです。他の誰でもありません。ウェブサイトやアプリ自体には、あなたのアカウントと、あなたがそこで行ったすべてのアクティビティにアクセスするシステム権限があり、あなたに一切の介在は必要ありません。(ちなみに、仕事関連のアカウントについては、IT部門も同様の権限を持っています。)
2FA認証リクエストは、アカウントにログインしている最中にのみ表示されるはずです。そうでない場合は、特に複数のリクエストがスパムのように届く場合は、問題が発生しています。
つまり、3つ目、そして最後の防御層は、鋭敏で活発な脳です。予期せぬ2FAの要求には注意してください。それは間違いなく怪しいものです(つまり、「フィッシング」です)。
2. 誰を信頼すべきかを知る
マルクス・スピスケ / Pexels
アカウントへのアクセスは、あなたと、ウェブサイト、サービス、またはアプリを運営する会社という2つの組織のみに許可されるべきです。そして前述の通り、その会社はあなたにアカウントへのアクセスを要求しません。パスワードや2段階認証の情報を要求するような連絡は、詐欺ではないと常に判断してください。
突然2段階認証のリクエストを受け取ったら、援軍を呼ぶ合図です。ウェブサイトまたはアプリのカスタマーサービスにすぐに連絡してください。パスワードの不正使用を報告し、アカウントのセキュリティ強化に関するガイド付きサポートを受ける必要があります。
(すぐにパスワードを変更したくなるかもしれませんが、それは悪い直感ではありません。しかし、2FA が有効な場合は、通常、パスワードを変更するには 2 要素チェックを通過する必要があります。2FA にこの 1 つの方法しかなく、ハッカーが携帯電話に複数のリクエストを送信している場合、自分で生成したリクエストではなく、ハッカーのリクエストを誤って承認してしまうリスクがあります。)
3. 耐久性の高い2FAを選択する
ユビコ
認証方法が便利であればあるほど、侵入されやすくなります。この原則は、パスワードの長さと同様に、二要素認証にも当てはまります。
パスワードの長さは、第一の防御線であり、多くの場合唯一の防御線でもあるため、より頻繁に議論されます。テクノロジージャーナリストやセキュリティ専門家は、人々が何らかの2要素認証(2FA)を使用していることに安堵のため息をつくことがよくあります。しかし、2要素認証の方法は、ハッキングや人為的ミスに対する耐性がそれぞれ異なります。
- メールやテキストメッセージはシンプルで分かりやすく、複数のデバイスからアクセスできる場合が多いです。しかし、安全でない通信に依存しているため、ソーシャルエンジニアリングによってアカウントが乗っ取られる可能性もあります。
- プッシュリクエストを受信するデバイス(スマートフォンやタブレットなど)やアプリは、メールやテキストメッセージよりも優れており、2FA設定を新しいデバイス(必要に応じて)に移行するのも通常は簡単です。しかし、スマートフォンの画面をスワイプしたりタップしたりする際のミスやソーシャルエンジニアリングといった、人間のミスに対しては依然として脆弱です。
- 2FAコードを表示するために手動で開く必要があるアプリは、自分だけが表示できるようにすべきです。これは大きなメリットです。ただし、このレベルのセキュリティは、コードがデバイス上でローカルにのみアクセス可能な場合にのみ適用され、クラウドストレージに保存・同期されている場合には適用されません。欠点は、設定をバックアップしていない場合、2FAコードへのアクセスを復元するのが非常に面倒になることです。
- ハードウェアトークンは完全に独立した物理的なアイテムで、2FAコードを生成・表示して使用したり、USBポートやワイヤレス接続(NFCまたはBluetooth)を介してシームレスに2FA認証を処理したりできます。ご想像のとおり、非常に安全ですが、紛失のリスクがあります。(安全のために、通常は複数枚必要です。)
つまり、ソーシャルエンジニアリングの被害に遭いやすい(または、より多くのソーシャルエンジニアリングの攻撃を受けるリスクが高い)と分かっている場合は、万が一の事態に備えて、万全な対策を講じることが重要です。ただし、より安全な2FAでは、ロジスティクス上の問題が発生する可能性が高くなるため、その対策も忘れずに行ってください。さらに詳しい保護対策のヒントについては、「セキュリティを強化する5つの簡単な手順」ガイドをご覧ください。
著者: Alaina Yee、PCWorld 上級編集者
テクノロジーとビデオゲームのジャーナリズムで14年のキャリアを持つアライナ・イーは、PCWorldで様々なトピックをカバーしています。2016年にチームに加わって以来、CPU、Windows、PCの組み立て、Chrome、Raspberry Piなど、様々なトピックについて執筆する傍ら、PCWorldのバーゲンハンター(#slickdeals)としても活躍しています。現在はセキュリティに焦点を当て、人々がオンラインで自分自身を守る最善の方法を理解できるよう支援しています。彼女の記事は、PC Gamer、IGN、Maximum PC、Official Xbox Magazineに掲載されています。
