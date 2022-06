2022年06月09日 07時00分 セキュリティ

突然の落雷で家が全焼して財産をすべて失ってもデジタルデータを復旧できるのか?



火災や雷などといった自然災害に遭遇した場合、もちろん保険に入っていれば金銭的にはある程度サポートされますが、スマートフォンやPCを焼失すると共に、金銭には替えがたいデジタルデータも失われてしまいます。外付けストレージやクラウドサービスを利用してバックアップを取っていれば本当にデジタルデータを復旧できるのかについて、規格オタクでテクノロジー愛好家を自称するブロガーのテレンス・エデンさんが「突然の落雷で家が全焼した場合」を想定してブログで説明しています。



まず、さまざまなサービスやクラウドにアクセスしてデジタルデータを復旧したい場合、ログインする必要があります。エデンさんはIDとパスワードをすべてパスワードマネージャーに保存しており、このパスワードマネージャーにログインするには2要素認証が必要です。



しかし、着の身着のままで家から避難した場合、その2要素認証に必要なコードが送られてくるスマートフォンを火災で焼失していると考えられます。





スマートフォンが焼失しても、SIMカードに紐付いている電話番号を取り戻すことができれば、メールやサービスにアクセスできる可能性はあります。しかし、元のSIMカードの所有者であることを示すのに必要なIDカードやパスワードなどの身分証明書がすべて焼失してしまった場合は不可能。



エデンさんはこうした事態に備えて、重要度が極めて高い情報についてはエクスポートしてから暗号化し、クラウドストレージに別途保存しているとのこと。しかし、そのクラウドストレージにアクセスするにはパスワードと2要素認証、あるいはFIDO2準拠のセキュリティキーデバイスが必要になります。しかし、セキュリティキーデバイスも家ごと焼失してしまっているでしょう。





もちろんサービスによっては想定外の事態、たとえば利用者本人が亡くなってしまった時にデジタルデータを管理できる人を緊急連絡先として指定できます。エデンさんは自分の妻を指定していました。しかし、落雷によってエデンさんの自宅が全焼したのであれば、エデンさんの妻もスマートフォンやPCを含むすべての財産を失ったと考えるのが当然。





多要素認証を備えたオンラインサービスは、「回復コード」を発行する場合があります。これは緊急時にたった1回だけ使えるパスコードで、いざという時にセキュリティシステムを無視してデータにアクセスできるようになります。



万が一の事態に備えて、エデンさんはこれらのコードを紙に保存しているとのこと。しかも、プリンターのメモリからコードを復元できないように、すべての回復コードを1枚の紙に手書きし、猫のトイレの下に隠した耐火金庫に保管しているそうです。



しかし、耐火金庫は落雷に対しては耐性がないとのことで、破損して中の紙は猫のトイレと共に焼失してしまう可能性は十分ありえます。





「もちろん回復コードを書いた紙を地元の銀行の貸金庫に保管すべきでしょう」と、エデンさん。しかし、エデンさんが住んでいるイギリスには貸金庫を提供している銀行がほとんどなく、提供していても年間240ポンド(約4万円)もかかるので、落雷というレアケースに備えるためとしては大げさです。





仮にエデンさんが貸金庫に回復コードなどを保管していた場合、銀行に出向いて貸金庫の契約者であることを示す身分証明書を表示すればOK。しかし、身分証明書が火災ですべて失われてしまっていれば、身分証明書が再発行されない限り、取り出すことはできません。



エデンさんは、すべての回復コードやリカバリキーをUSBドライブに保存して、信頼できる友人に預かってもらうという方法も考えたそうです。しかし、エデンさんは「新しいサービスに登録するたびにUSBドライブに保存する必要がある」「友人あるいはその家族が誤ってUSBドライブの中身を消してしまう可能性がある」「その友人も被災してUSBドライブを失う可能性もある」「そもそも友人が裏切らないようにUSBドライブにパスワードをかける必要があり、そのパスワードをどうするかという問題が発生する」といった問題を指摘しています。





他には回復コードやリカバリキーのデータを暗号化して分割し、複数のUSBドライブに保存して複数の友人に預かってもらうという方法もありますが、エデンさんは「友人全員が私に対して陰謀を企てていることも心配しないといけなくなります」と述べています。



エデンさんは「退屈なアナログの世界では、私は自分が誰であるかをきっと他人に証明でき、私のアカウントにアクセスすることができます。企業からアクセスを取り戻すには、裁判を起こす必要があるかもしれませんが、それは可能なことです。しかし、確固たるアルゴリズムによってアカウントが保護されている場合、私は運が悪いとしか言いようがありません。どんなに弁明しても、正しい認証情報がなければ、それは許されません。パスワードマネージャーを提供している企業は、単に誰も私のパスワードにアクセスできないように設定しているだけなのです。コードこそが従うべき規律なのです。もちろん、セキュリティが簡単に突破できるのであれば、悪人も突破できるでしょう。セキュリティを徹底するべきなのか否か、どちらがより大きなリスクとなるのでしょうか」と述べました。