国内でも海外でも個人情報が盗まれる事件が多発している。他人事ではなく自分(たち)の問題としてこれを機会に総点検を行うことが望ましい。だが、どこから手を付けていいのか、考え始めると分からなくなってしまうかもしれない。そのような場合、例えば「乗っ取り」攻撃への対策を中心に見詰め直してみてはいかがだろうか。
2015年、世界中で深刻な個人情報の漏出が起こっている。政府関連機関も、大企業も中小企業も、さらには、出会い系サイトにも被害が生じている。流出した情報量は決して小さくなく、多い場合では、数百~数千万件にも上っている。
だが、注意しなければならないのは、その数ではない。あらゆる組織や個人が狙われているということであり、自分(たち)が例外的に大丈夫とは、決して思ってはならない。
攻撃者(ネット犯罪者)たちが個人情報の窃取に極めて意欲的であるのは、それが経済的利得につながっているからである。メールアドレスや銀行口座番号だけではない。どのような内容であれ、個人情報のデータベースは闇市場の人気商品であり、そのために今後もさまざまな手段を使って攻撃が行われることは必至なのである。
一方、個人情報を奪われる側にとっては、こうした攻撃を受けてしまうと社会的信用を失うという意味で最悪の出来事である。しかもそればかりでなく、コストの面から見ても非常に大きな損失を招くことが多く、場合によっては経営や運営が傾くことにもなりかねない。
もちろんハッカーたちはが奪うのは個人情報だけではない。もっと直接的に、オンラインバンキングの預金かもしれないし、組織の極秘情報かもしれない。だが不特定の人物の個人情報の流出は、はっきりとした損害が直ちに現れないとしても、長期にわたってより深刻な問題を引き起こす恐れがある。
例えば、2015年7月に発覚した既婚者のための有料「出会い系」サイトの情報漏出のように、そのデータの中には本当に他人に知られたくないものが含まれていることもある。こうしたデータが正体不明の相手に盗まれ、ウェブ上の闇市場で他の犯罪者に転売されていった場合、そうしたデータがどこでどのように扱われるのか非常に不安であり、心休まることがなくなるかもしれない。
そう考えると、すでにクラッキングされた時点で、クラッキングを受けた被害者の精神は、想像以上に大きな被害を受けていると考えるべきである。プライドが傷つけられ、もう人と接触したくなるくらいに辱められたと嘆く人も現れるだろうし、大手企業はただひたすら謝罪するばかりでだらしがない、と非難されるかもしれない。また、投資家はこれまで築き上げてきたブランドと信頼を失うかもしれないし、通販サイトは在庫が売れ残り収益が悪化するかもしれない。
そこでここでは、万が一クラッキングを受けたとき、その後できるだけ早く確実に回復できるように、そして心の尊厳をも取り戻せるようにするための対策を考えてみることにする。
どのような攻撃が行われているのか
まず、クラッキングとは、具体的にはどういった攻撃が行われているのか、簡単に整理をしておこう。
- ホームページが改ざんされる
- サーバーに格納されていたデータが盗まれる
- サーバーのシステムが破壊される
- サーバーやサービスが停止してしまう
- メールサーバーを利用した迷惑メールの中継に利用される
- 他のコンピューターを攻撃するための踏み台として利用される
- バックドアを仕掛けられ、いつでも外部から侵入できるようにされる
クラッキングの特徴は、何よりも、一般的なマルウェアとは異なり、不特定多数を無差別に攻撃するのではなく標的が絞られていることである。このことに留意すると、最小単位のクラッキングとは、個人のメールアドレスのパスワードが盗まれたり、SNSのアカウントが「乗っ取られる」こと、という見方ができる。
そこで以下では、主にSNSアカウントの「乗っ取り」を例にして、上記のようなクラッキング全般にも応用できるような、最低限抑えておきたい対策を考えてみることにする。
対策
クラッキングされた場合の対策を、5点に分けて説明する。
1 被害の連絡・報告を怠らない
何よりも大事なのは、アカウントに対するパスワードの設定・管理である。FacebookやTwitterやInstagramのポストやアカウントなどが乗っ取られて勝手な内容がアップされているのに気付いたならば、多くの場合、家族や友人、ビジネスパートナーなど関係者にこのアクシデントについて直ちに伝えるべきである。なぜならば、被害の発生源がどこか分からない以上、関係者は全て一度点検を行う必要があるからである。
もしもFacebook、Twitter、そしてInstagramのオンラインサービスのアカウントがクラッキングされた形跡があれば、まず、下記のページで対応を行うことをお勧めしたい。
Facebookの「アカウント不正アクセス」報告のページ
https://www.facebook.com/help/131719720300233/
Twitterの「トラブルシューティング」
https://support.twitter.com/articles/489464-#
Instagramの「ヘルプ」
https://www.facebook.com/help/instagram/149494825257596?locale=ja_JP
万が一該当する項目が上記ページにない場合は、できるだけ速やかに各カスタマーサービスの部署に連絡を取るべきである。裏をかいた攻撃は絶えることがなく、被害も決して減っているわけではないが、SNS系の企業は「乗っ取り」について常に警戒しており、さまざまな対策を講じてもいるので、ある程度の対応が可能である。
被害については、大雑把に分けると、以下のようになるであろう。
- アカウント情報が盗まれる
- そのアカウントを使ってスパムメッセージが送出される
- 不審なファイル(マルウェア)がダウンロードされる
もしもこうした被害が発生しているのであれば、手順に従がって、アカウントに対するパスワードの変更と、認証方式の増強をお勧めする。
2 セキュリティ検査の実施
アカウント情報の安全性が確保されたら、続いて、疑わしいファイルや不審な挙動などを一通りチェックするセキュリティ検査の実行に移りたい。できるだけ間隔を開けずに実施する方がいい。
セキュリティ検査とは、例えば、自分のFacebookのアカウントがクラッキングされた場合には、セキュリティの質問内容が変更されていないかどうかを確認することである。
通販サイトなどを利用している場合には、自分の知らない発送事案や支払履歴がないかどうかを確認することである。
メールのアカウントが盗まれた可能性がある場合には、下書きや送信されたメールをチェックし、送信元のアドレスを確認することである。さらには、コードやトラフィック、通信速度なども確認すべきである。また、いつもとは異なるメール、不審なメールなどがないかどうか、再確認をする。
自分のウェブサイトが乗っ取られている場合には、実際にどの部分に被害が起こっているのかを冷静に見極め、その上で原因を探るべきである。
セキュリティが侵害された後のチェックによって脆弱性が発見される
3 復旧
セキュリティ体制の側にとっては何事もないのが一番であるが、もしもセキュリティ侵害が起こってしまった場合、大切なのは、その後の復旧・対策である。こうした機会に、ほかにも攻撃されていないか、今後攻撃される恐れがないか、隅々までチェックを行い、見落としていた脆弱性を解消しておきたい。
また、何か不審な事態に陥っていると感じられることがあれば、ためらわずに、直ちにセキュリティの総点検を行い、その後、プライバシー設定の確認やパスワードの変更などを行った方がいい。また、そのアカウントに接続しているアプリケーションやソフトウェアを見直し、ハッカーに利用されるようなところがないかどうかを確認しておきたい。
特に最近増えている被害として、SNSアカウントの「乗っ取り」がある。被害として、勝手にアカウント名が使われてフォローワーや友達にスパムメッセージが拡散されたのならば、第一に考えられるのはオープンプロトコルのOAuth(オーオース)を悪用した攻撃である。この場合、一般的にはすぐにパスワードを変更した方がいいとされているが、そうすることよりも、SNSと連携しているサードパーティーのアプリケーションやソフトウェアをインストールした際の認可設定を変えるか、アプリケーションまたはソフトウェアをアンインストールする必要がある。
4 基本に立ち返る
もしも攻撃されたならば、慌てずにセキュリティの基本に立ち返ってを正しく対応することが求められる。パスワードはできるだけ複雑なものを考案するか、パスワードの管理ツールを使うか、定期的ににパスワードを変える。また、これまでよりも防御力の高いセキュリティソリューションの使用を検討する必要もある。
また、OSやソフトウェアェアの定期的なパッチ適用は、必要不可欠である。さらには、重要なデータのバックアップも、こういう機会に行っておけば、最悪の事態は免れられる。
ほかには、SNSの使い方も再検討を要する。フィッシングやソーシャルエンジニアリングによる詐欺なども気を付けなければならない。
5 もう一歩先へ
セキュリティは基本が何よりも大事だが、実際の対応には、基本に加えて、もう一歩、強化したいポイントが幾つかある。
- 暗号化、仮想化
- メールの誤送信
- フィルタリング
- ネットワーク監視
- データ損失防止(DLP)
- モバイル機器管理
さまざまなセキュリティソリューションがあるが、自分(たち)にとって重要と思われるものから優先順位を付けて対策を強化していくとよい。
常に慎重に、情報収集
近年に標的攻撃が盛んになっていることを踏まえると、自分が信頼しているもの(人や組織)に一層の注意を向ける必要がある。直接人と会って話をしているときに、その相手が本物であるかどうかを疑う必要はほとんどないが、パソコンやスマートフォンなどのコミュニケーションは、たとえ自分になじみのあるメールアドレスやSNSのアカウントであっても、本当は誰がその背後にいるかは分からない。
再び標的にされる可能性
どのような犯罪でも言えることだが、一度標的にされた経験がある場合、もう被害に遭うことがなくなると思い込むところが、人間の心理にはある。サイバー攻撃の場合、これは、全く逆である。一度被害を受けた場合、自分が攻撃側のリストに組み込まれたと考えるべきであり、以後もあらゆる攻撃に備え、より一層の注意が望まれる。
