ネット時代を生き抜く術「ハッキングされないためにできること」まとめ


情報社会では情報自体に価値があり、情報は集まることでさらに新たな価値を生み出します。当然ながら、情報を盗み出そうとする輩がいなくことはあり得ず、インターネットを利用する以上、ハッカーからの攻撃に備えることは、ネット社会で生きていく上で不可欠です。テクノロジーサイトMotherboardが、ネット時代の自己防衛術「The Motherboard Guide to Not Getting Hacked」の2017年最新版を公開中。当たり前の常識から、目からウロコのテクニックまで、網羅的に提示しています。

The Motherboard Guide to Not Getting Hacked - Motherboard
https://motherboard.vice.com/en_us/article/d3devm/motherboard-guide-to-not-getting-hacked-online-safety-guide

◆脅威モデリング
ネット世界で攻撃されるのを予防するために、最初に考えておくべきことは「脅威モデリング」です。「誰から何を攻撃されるとどんな風に悪い結果を招くのか?」「それを予防する障害となっている問題は何か?」などを考えておくことが、ハッカー対策の第一歩というわけです。

Motherboardは電子フロンティア財団が作った「リスク評価」に登場する5つの質問をオススメしています。

・何を保護したいか?
・誰から守りたいか?
・保護する必要性があるか?
・仮に守らなかった場合、どれだけ悪い結果を招くか?
・予防するのを妨げる問題は何か?

この5つの質問に答えることで、何をするべきかが見えてきます。

◆ソフトウェアの更新
自分の身を守るために最も基本的で最も重要なことは、「使っているソフトウェアを最新バージョンにアップデートすること」です。個々のアプリだけでなく、OSを最新版に保つことが非常に重要。もちろん、最新OSでなくてもセキュリティ更新プログラムが入手可能である限り、OSを安全な状態に保つことは可能です。OSやソフトウェアの脆弱性を突くことは、ハッキング手法としては最も抵抗が小さくかつ広範に攻撃できるため、ハッカーが最優先する方法だとのこと。そのため、ソフトウェアのアップデートが最優先事項だというわけです。

◆パスワード管理
パスワードを盗み出されれば、サービスに保管されたあらゆる情報を引き出されるだけでなく、アカウント自体を乗っ取られる恐れがあります。パスワードを複雑なものにしてクラックされにくくするのと同時に、複数サイトで使い回さないことが鉄則。芋づる式にサービスを突破される危険をゼロにすることが重要です。

複雑なパスワードを「頭」で管理するというのは不可能です。そこで使うべきなのが、パスワード管理ソフト。キーとなるマスターパスワードさえ守り抜けば、強固なセキュリティが約束させるパスワード管理ソフトを使わない手はありません。

頭を悩ます面倒なIDとパスワードをまとめて簡単管理できるフリーソフト「ID Manager」 - GIGAZINE


たった1つのパスワードを覚えれば全OS・全ブラウザのあらゆるパスワード自動入力&管理ができる「LastPass」 - GIGAZINE


無料化した面倒なパスワード管理が超絶簡単になる「LastPass」スマホ版の使い方 - GIGAZINE


なお、パスワードをクラウド上で管理するサービスもありますが、サービス提供企業が攻撃を受ける可能性はゼロではありません。ただし、クラウド上のパスワード自体を暗号化して保管するタイプのサービスであれば、サービス側がハッキングされてもパスワードの安全性は維持できます。たとえば、LastPassはこれまで2度ハッキング被害に遭っていますが、ユーザーのパスワードが盗まれる事態には陥らなかったそうです。

◆二段階認証
パスワードが第一の壁だとすれば、第二の壁として機能するのが「二段階認証」です。SMSに送られたワンタイムパスワードなどによる追加の認証を求めるサービスは、万一パスワードを突破された場合の防波堤となるため、セキュリティを盤石なものにしてくれます。

ソフトウェアで二段階認証をアシストするものや、USBメモリなどハードウェアでアシストするものなど様々なタイプの二段階認証ツールがあるので、サービスが対応している場合は活用するのがオススメです。

無料でGmailなどの2段階認証を誰でも簡単にオフラインで実行できるアプリ「Authy」 - GIGAZINE


Googleアカウントの2段階認証で使用可能なUSBセキュリティキー「FIDO U2F Security Key」を使ってみました - GIGAZINE


FacebookがUSBセキュリティキーでの2段階認証に対応したので試してみました - GIGAZINE


Amazonが2段階認証に対応、住所・電話番号・クレジットカード情報を強固に守るべく試してみました - GIGAZINE


◆Flash禁止
Motherboardいわく、Adobe Flashは「コンピューター史上最も安全性の低いソフトウェアの一つ」「スイスチーズよりも穴が多いソフト」「ハッカー大好きソフト」だとのこと。散々な言われようのFlashですが、すでにGoogle ChromeやFirefoxなどサポート外扱いにしたブラウザがある通り、セキュリティ面に不安があるのは確かです。

Google Chromeの「Flash排除」の動きがさらに前進 - GIGAZINE


FirefoxがFlashを段階的に排除、2017年にはデフォルトで無効にすると発表 - GIGAZINE


MicrosoftもEdgeでのFlash排除、自動再生をブロックへ - GIGAZINE


本家Adobeが定めた終息時期である2020年を待つことなく、Flashから離れるのが無難だとのこと。

◆ウイルス対策ソフトの使用
ウイルス対策ソフトの利用はセキュリティ対策の基本です。ウイルス対策ソフトの信頼性に疑問がつけられる出来事がしばしば起こっているとしても、国家レベルの組織や極めて高度なハッカーに狙われているのでない限り、ウイルス対策ソフトはまだまだ有効だとのこと。

ロシアのハッカーがカスペルスキーのウイルス対策ソフトを使ってNSAの機密情報を盗み出したと判明 - GIGAZINE


カスペルスキーが自社の透明性を示すためにアンチウイルスソフトのソースコードを公開 - GIGAZINE


◆セキュリティ向けプラグインの活用
詐欺サイトに導いたり、マルウェアを送り込むために広告バナーが悪用されるケースがあります。これを防ぐためには、広告ブロックソフトは有効です。

使える「広告ブロック拡張機能」10選 - GIGAZINE


また、サービスへの接続を暗号化するサービス「HTTPS Everywhere」もオススメだとのこと。

◆VPNの利用
セキュリティ面で不安がぬぐえない公共のWi-Fi回線を利用するときには、Virtual Private Network(VPN)を活用することが有効です。

無料でAndroidのWi-FiをVPN接続にしてくれるアプリ「Secure Wireless」 - GIGAZINE


無料&登録不要でVPNを使いアクセス規制を突破&セキュリティを保つiOS・Android・Windows・Chrome・Firefoxアプリ「Betternet」 - GIGAZINE


ただし、VPNサービスは玉石混淆なので、どれが優れたVPNサービスなのかを事前にチェックするのがオススメ。Motherboardは「Freedome」「Private Internet Access」を、技術者には「Algo」を推奨しています。

◆マクロの無効化
「Microsoft Officeのドキュメント内でマクロを使ってマルウェアを分散させる」というのは古典的なハッキング手法でMicrosoftも対策を講じてきましたが、最近になって新手のマクロ悪用ハッキングが発見されるようになってきました。セキュリティ面を重んじるならば、マクロの利用はやめるべきだとのこと。

なお、以下の通り「PowerPoint添付ファイル攻撃」というマクロ実行なしで機能するハッキング手法も登場しているので注意が必要です。

銀行口座情報を盗むマルウェア「Tinba」をマクロ実行なしで感染させる新手のPowerPoint添付ファイル攻撃が発見される - GIGAZINE


◆ファイルのバックアップ
大切なファイルをバックアップするという重要性はいつの時代も同じ。クラウドストレージが発達した現代においても、外付けHDDなどのネットワークから遮断されたコールドストレージへの保存は有効です。

バックアップさえあれば、以下のようなデータを人質に取られる被害にあっても回復可能です。

ファイル暗号化・身代金要求の「WannaCry」が世界的大流行でWindows XPにまで緊急パッチが配布される異常事態に突入、現状&対応策まとめ - GIGAZINE


中央銀行や国営通信、チェルノブイリ原発をシステムダウンさせたマルウェア「NotPetya(GoldenEye)」が世界レベルで大流行 - GIGAZINE


データを暗号化して身代金を要求するマルウェア「Bad Rabbit」の感染被害が急拡大 - GIGAZINE


◆過度の露出を避ける
SNSで個人情報を公開するのはオススメできません。クレジットカード情報だけでなく航空券の写真をアップするのも避けるべき。公開された情報だけで、驚くほどの情報を暴かれることになりかねません。

「イスラム国(ISIS)」の活動拠点は一体どこにあるのかをGoogle Earthで丸裸にする方法 - GIGAZINE


顔写真の公開も危険。

地下鉄で撮影された写真からSNSを特定してプロフィール写真と比較される「Your Face Is Big Data」 - GIGAZINE


人によっては致命的なことになるかも……。

女性がアダルトビデオに出演経験があるかどうかをSNSにアップした写真から「顔認識」で特定 - GIGAZINE


◆むやみに添付ファイルを開かない
Word文書やPDFなど添付ファイルにマルウェアを隠すというのは何十年にもわたって悪用され続けてきた古典的かつ鉄板のハッキング手法です。怪しいファイルはむやみに開かないのが鉄則です。

右クリック一発でファイルをVirusTotalに送りウイルスチェックするフリーソフト「VirusTotal Uploader」 - GIGAZINE


怪しいファイルを60種類以上のアンチウイルスソフトで一括ウイルスチェックできるサービス「VirusTotal」 - GIGAZINE


ローカル環境を安全にしつつファイルをチェックする手段として、「一度、ファイルをGoogleドライブに保存してドライブ内で開く」というテクニックもアリ。ファイルはGoogleのクラウド上で展開されるので、ローカル環境は保護されるというわけです。

◆iPhoneを使う
モバイルOSはAndroidとiOSの二強体制ですが、セキュリティ面を重んじるならばiOSを使うべきだとMotherboardは述べています。大きな理由として、App Storeにアプリが登録されるまでのチェックがより厳格で、Appleのみによって認証されたことを保証する「code-signing」と呼ばれるデジタル署名があることや他のアプリへのアクセスが制限されるサンドボックス化など、環境面での優位性を挙げています。また、セキュリティアップデートを含む最新バージョンへのアクセス性の高さもiOSのAndroidに対して優位な点です。

iOS端末の約80%が最新の「iOS 10」であるのに対し「Android 7.0」はたった1%しかいない - GIGAZINE


その上で、「どうしてもAndroidがいい!」という人には、最新OSへのアップグレードパスが保証されたNexusシリーズやPixelシリーズなどのGoogleブランドスマートフォンにするのが良いとMotherboardは述べています。

・関連記事
Googleが「メールアカウントをハッキングされないようにする方法」を伝授 - GIGAZINE
ロシアのハッカーがカスペルスキーのウイルス対策ソフトを使ってNSAの機密情報を盗み出したと判明 - GIGAZINE

スマホがあればパスワードなしでセキュアにMicrosoftアカウントにログインできる「Microsoft Authenticator」 - GIGAZINE

「なぜパスワードを記憶するべきではないのか」を簡単に説明したムービー - GIGAZINE

Windows 7の起動時に管理者権限を強制的に取得する裏技 - GIGAZINE

パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める - GIGAZINE

193

in ソフトウェア,   ネットサービス,   セキュリティ, Posted by logv_to