先ほどまたオンラインデータベースのハッキング事件のニュースを読んだばかりで、400万人のユーザー名とパスワードがインターネット上に流出している。もしかしたら自分のものもあるかもしれない、と不安に駆られている。そして、耳にする機会のないセキュリティ侵害も、受信トレイやクレジットカードの明細書に恐ろしいサプライズを残す。
あなたのような法を遵守する市民でさえ、守るべき秘密はいくつかあります。そこで、大切な秘密を守るのに役立つ、業務用グレードのツールを5つ見つけました。クレジットカード番号を入力する必要もありません。すべて無料です。
基礎:KeePass
この記事で紹介したセキュリティツールを1つだけ採用するなら、KeePassがおすすめです。この無料のオープンソースパスワードマネージャーはWindowsで利用可能で、iOS、Android、Linux、Mac OS Xにも非公式ポートが用意されています。安全で長く、完全にランダムなパスワードは、セキュリティ強化に大きく貢献します。そして、使用するウェブサイトやサービスごとに異なるパスワードを設定することは、セキュリティを確保するためにできる最も重要なことです。
パスワードマネージャーの代わりに、多くの人にとって、どこでも同じパスワードを使い回すことが選択肢となっています。つまり、登録しているウェブサイトのユーザーデータベースが侵害された場合、ハッカーは(実際に実際に)他の多くのウェブサイトであなたのユーザー名とパスワードを試し、アクセスできてしまうのです。ですから、真剣に考えてみてください。たとえアクセス頻度が少なかったとしても、登録するウェブサイトには必ず、ユニークで複雑なパスワードを設定しましょう。
KeePassを使えば、これらのユーザー名とパスワードのペアをすべて、安全に暗号化されたデータベースに保存できます。データベースは単一のマスターパスワードで保護されており、覚えておく必要があるのはマスターパスワードだけです。また、商用の競合製品であるLastPassとは異なり、KeePassはパスワードデータベースを自動的にクラウドに保存しません(ただし、Dropboxに自分で保存することは可能です)。
KeePassには独自のランダムパスワードジェネレーターが搭載されているため、自分でランダムなパスワードを考える必要はありません。クイック検索ボックスが搭載されており、ウェブサイト名の一部を入力するだけで、リストの中からすぐに見つけることができます。リスト自体は数千件のレコードを格納できるように設計されており、フォルダやサブフォルダに分割して整理することも可能です。KeePassはユーザー名とパスワードだけに限定されません。各エントリには、あらゆる種類のテキストを安全に保存できる自由形式の「メモ」フィールドなど、いくつかのフィールドが用意されています。
悪意のある人物がパスワード保護を回避する方法の一つに、キーロガーがあります。キーロガーとは、バックグラウンドで動作するアプリケーション(またはコンピュータに接続された物理的なハードウェアドングル)で、ユーザーが入力したすべてのキー入力をひっそりと記録し、後でその情報を攻撃者に送信します。システムにキーロガーがインストールされると、攻撃者はユーザー名やパスワードなど、ユーザーが1日を通して入力するすべての単語を把握できる可能性があります。
KeePassはAutoType機能でキーロガーを防御します。この機能により、ウェブサイトのパスワードを一つ一つ手入力する手間が省けます。KeePassは仮想キー入力とクリップボードの難読化を組み合わせてパスワードをブラウザウィンドウに貼り付けるため、キーロガーによるパスワードの解読がさらに困難になります。AutoType機能は扱いが難しい場合もありますが、うまく機能すれば非常に便利です。また、KeePassでは、UAC(ユーザーアカウント制御)によって保護されたプロンプトでマスターデータベースのパスワードを入力することも可能で、管理者権限で実行されていないソフトウェアキーロガーをブロックします。
KeePassを入手して、今すぐ使い始めましょう。次に大規模なウェブサイト侵入で数千ものユーザー名とパスワードがサイバー空間に流出した時、きっと感謝することになるでしょう。
ファイル用: TrueCrypt
皆さんはDropboxを使っているでしょうか?あるいはSkyDrive、Google Drive、あるいは他にも数あるクラウドファイルホスティングサービスを使っているかもしれません。これらのサービスは、複数のパソコンやモバイルデバイス間でデータを同期したり、他の人と共有したりするのに非常に役立ちます。ところで、ちょっとした豆知識があります。Dropboxの社員があなたのファイルにアクセスできることをご存知ですか?確かに、彼らがあなたのデータを使って何かするなんてあり得ない話ですが、なぜリスクを冒す必要があるのでしょうか?無料ユーティリティのTrueCryptを使えば、フォルダ全体を簡単に暗号化できるので、クラウドに同期されたデータは完全にあなたのものになります。
TrueCryptは仮想暗号化ディスクを作成することで動作します。つまり、Dropboxから見ると、TrueCryptで暗号化されたディスクは単なるランダムなバイナリデータの塊に過ぎません。しかし、TrueCryptを使ってそのボリュームをマウントすると、正しいパスワードを入力するだけで、システムに新しいドライブが表示されます。このドライブに保存したすべてのファイルは即座に暗号化され、覗き見から保護されます。ボリュームをアンマウント(いわばディスクを取り出す)すると、完全にアクセスできなくなります。
TrueCryptはセキュリティに非常に力を入れており、暗号化の正当性を否認できるほどです。仮に、ある個人または法人がTrueCryptボリューム内にファイルを保存していることを知り、パスワードの漏洩を強要する権限を持っていたとしましょう。それほど厳格でないセキュリティソリューションでは、これでゲームオーバーです。パスワードを漏洩した瞬間に、データは失われてしまいます。
TrueCrypt では、TrueCrypt コンテナ内に隠しボリュームを作成することでこの制限を回避できます。ボリュームを復号するためのパスワードを 1 つ入力すると、ファイル セットが 1 つ生成されます (これは、事前にそこに配置したおとりファイルで、ボリュームの内容の代わりに使用できるほど信憑性があるように見せかけるものです)。同じボリュームを復号するために別のパスワードを入力すると、まったく異なるファイル セットが生成され、それが保護しようとしている実際のファイルになります。つまり、パスワードを強要した人物は、実際には持っていないファイルでも、隠していたファイルを手に入れたと考えてしまうのです (ただし、持っていると主張することはできますし、この 2 つのパスワードのトリックを見破る方法はありません)。これはウィリアム ギブスンの小説から出てきたシナリオのように聞こえますが、特に無料ツールで利用できるのは素晴らしいオプションです。
安全にブラウジングするには:Torブラウザバンドル
KeePassとTrueCryptを適切に使用すれば、非常に安全な環境を構築するのに十分です。これで必須アプリの領域を脱し、贅沢な(あるいはパラノイア的な、見方によっては)領域に突入です。インターネットブラウジングのセキュリティも強化したい場合は、Torブラウザバンドルが最適です。
Torネットワークは匿名でブラウジングする方法を提供します。Torに接続すると、すべてのインターネットトラフィックは暗号化され、匿名ノードの複雑なネットワークを経由して最終目的地に届きます。100%安全ではありませんが、どんなセキュリティソリューションも100%安全というわけではありません。Torは2002年から存在し、エジプトなどのインターネットアクセスを制限する抑圧的な政権下で厳しい状況下で実証されてきました。そして、その効果は実証済みです。
Torブラウザバンドルは、Firefoxの特別バージョンとTorに接続するためのアプリケーションが含まれた、ポータブルな自己解凍型パッケージです。バンドルを解凍し、「Torブラウザを起動」をダブルクリックすると、接続ウィンドウが開き、初期化シーケンスが実行されます。何もする必要はありません。プログレスバーがいっぱいになるまでしばらくお待ちください。Torとの安全な接続が確立されるとすぐにFirefoxが読み込まれ、ブラウジングを開始できます。
Torはデータを多数のレイヤーとランダムなエンドポイントを経由してルーティングするため、超高速とは言えません。とはいえ、ほとんどの人はTorを日常のブラウジングに必須とするような環境で生活しているわけではありません。たまに使う程度であれば、複雑なセキュリティシステムをダブルクリック一つで簡素化できる、洗練されたソリューションです。
目に見えない情報を隠すには:OpenPuff
ステガノグラフィー、つまり目につくところにメッセージを隠すことは、古代ギリシャにまで遡る由緒ある手法です。現代では、ステガノグラフィーとは、MP3 や JPEG 画像などのメディア ファイルにデータを埋め込むことを意味します。ファイルは通常どおり機能し、隠されたデータを具体的に探さなければ、暗号化された情報が存在することさえわかりません。つまり、重要なテキスト メッセージを無害な画像ファイルに隠し、そのファイルをオンラインで公開できるのです。その後、第三者がそのファイルをダウンロードし、事前に共有したステガノグラフィー ツールとパスワードを使用してファイルを処理し、埋め込まれた情報を抽出できます。この目的に適したツールの 1 つが OpenPuff です。これは、MP3、JPEG など、データを隠すためのさまざまな「キャリア」形式をサポートする強力なオープンソース ステガノグラフィー アプリケーションです。
OpenPuffはデフォルトで3つの異なるパスワードで情報を保護するよう求めますが、任意のパスワードを1つに絞り込むこともできます。さらに、Privately-Denabling Encryption(PID)もサポートしており、これが非常に危険な点です。一見無害に見える画像や音楽ファイルに隠しメッセージが含まれていることを誰かが何らかの方法で発見したとしても、OpenPuffを使えば本物のメッセージと一緒に偽のメッセージを隠すことができます。別のパスワードを入力するだけで、相手は画像から偽のメッセージを抽出し、勝利したと思ってしまいます。しかし実際には、本当の秘密はファイルに隠されたままです。
ステガノグラフィーは通常、短いテキストメッセージやその他の凝縮された情報を隠すのに効果的です。もちろん、ステガノグラフィーを使って動画ファイル全体を別の動画ファイルの中に隠すことはできません。余分なバイトを格納するスペースがないからです。それでも、大量の情報を隠したい場合は、OpenPuff を使えば複数のキャリアファイルを連結して1つの拡張メッセージにすることができます。情報を抽出するには、受信者(または自分自身)がすべてのキャリアファイルを所有し、正しい順序で正しいパスワードと共に OpenPuff に入力する必要があります。心臓の弱い人にはおすすめできません。
プライベートチャット用: Cryptocat
セキュアトラフィックトンネリングやステガノグラフィーがあまりにも陰険に思えるなら、現実世界のセキュリティホール、Chatを検討してみてはいかがでしょうか。オンラインチャットはかつてないほど簡単になりましたが、安全なチャットはそう簡単ではありません。FacebookやGmailに組み込まれているチャットクライアントは、暗号化よりも汎用性と使いやすさを重視しています。無料のチャットクライアントCryptocatは、セキュリティと利便性を両立できると主張しており、登場と同時に大きな反響を呼びました。
今回紹介するツールの中で最も未成熟なCryptocatは、セキュリティソフトウェアに関する重要な教訓を示しています。それは、新しいことが必ずしも良いことを意味するわけではないということです。Wired誌がCryptocatとその開発者である21歳のNadim Kobeissi氏を高く評価した記事を掲載した後、セキュリティの第一人者Bruce Schneier氏は自身のブログで警告記事を掲載し、Cryptocatは見た目ほど安全ではないことを読者に知らせました。当時の問題は、Cryptocatがセキュリティをローカルではなくホスト側で処理していたことでした。この問題はその後解決され、現在ではCryptocatはブラウザ拡張機能として動作し、暗号化をローカルで処理しています。それでも、これは心に留めておくべき重要な例です。暗号化ソフトウェアは、たとえオープンソースであっても、徹底的な監査と実戦テスト(できれば何年もかけて)を経なければ安全であるとは考えられません。
Cryptocatをミッションクリティカルな秘密通信には使いたくないですが、GoogleやFacebookに搭載されている機能よりもセキュリティとプライバシーを多少は強化でき、使い勝手も同様に優れています。ChromeまたはFirefoxの拡張機能をインストールしたら、チャットルームのニックネーム(ハンドルネーム)とタイトルを選択するだけで、あっという間に、ルームに参加した他のCryptocatユーザーとチャットできるようになります。見た目は明らかに古き良き8ビット風ですが、それがCryptocatの魅力をさらに高めています。友人とチャットする良い方法であり、他のセキュリティ対策も活用することの重要性を思い出させてくれるでしょう。
少しのセキュリティが大きな効果をもたらす
セキュリティソフトウェアを使うと、ついやり過ぎてしまうことがあります。KeePassで小さなデータベースを作成し、ステガノグラフィー技術を使ってMP3ファイルに埋め込み、そのファイルをTrueCryptボリュームに入れてTorを起動し、Cryptocatで友達にそのことを話す、といったことも可能です。これは楽しい実験かもしれませんが、実際には、セキュリティを大幅に強化するには、ほんの少しのベストプラクティスを実践するだけで十分です。この記事が少しでも皆さんの行動を促すきっかけになれば幸いです。KeePassを導入し、パスワードセキュリティをより真剣に考えるきっかけになれば幸いです。すでにパスワードマネージャーをお使いの方も、プライバシーをさらに保護し、常にオンラインであることに伴うリスクを軽減するために、できることはたくさんあります。
