SNSは多くの人に支持され、今や完全にライフスタイルの一部となっている。こういう場所には、個人情報が盗み出されたり、金銭詐欺に遭ったり、深刻な被害に陥るなど、さまざまな罠(わな)が仕組まれるのが世の常だ。以下では、SNSを安全に楽しむために特に注意したいポイント5点を挙げる。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
Facebook、Twitter、Instagramなど(ここで挙げているのはほんの一部にすぎない)のおかげで、ますます私たちはデジタル上で時間を過ごすことが多くなっている。人々はオンラインで、オフラインと同じように友人や家族と交流し、絆を深めている。ソーシャルメディアは、疑いなく私たちのライフスタイルの中心を占めるようになっているのだ。
しかし、多くの人がこういったプラットフォームを日常的に用いるようになっている一方で、思わぬ落とし穴があるというのも事実となっている。オンラインでのいじめや嫌がらせも無視できないが、それ以上にいつも注目を集めるのは、プライバシーと情報セキュリティの問題である。
実際、年齢や身に付けた専門知識にかかわらず、誰もがこういった攻撃の被害者になり得る。FacebookのCEO、マーク・ザッカーバーグ(Mark Zuckerberg)氏が2016年6月の初頭に、自身のTwitterとPinterest(*1)の認証情報を乗っ取られ、その攻撃の存在に気付いたという例もある。
*1 ファッションや料理、ペットなどのトピックをもとに写真を共有するソーシャルメディア。
この事件を起こしたグループは「OurMine」という名で活動をしていた。彼らは、ザッカーバーグ氏のミスはパスワードを使い回していたことだ、と主張している。そのパスワードは、2012年のLinkedInの情報漏えいによって被害を受けた情報の宝庫の中から掘り出されたものだ。
この手のインシデントは増加傾向にある。数字を見ればそれは明らかだ。2016年上半期だけでもLinkedIn(最終的に1億件を超えるメールとパスワードがオンライン上に公開された)、Myspace(3億6,000万ユーザーが情報漏えいの悪影響を受けた)、Tumblr(6,500万ユーザーが影響を被った)へのかなり目立った攻撃があった。正直なところ、どれだけの数のソーシャルメディアのアカウントが感染したのか、誰が正確に知ることができるだろうか。
こうしたことを念頭に置きつつ、ソーシャルメディアへの攻撃の犠牲者にならないようにする手段を、以下、まとめてみた。 。
1. パスワードの管理とパスフレーズ(*2)の採用
*2 一般的には10文字以上のパスワードを指すが、厳密には文章化されており空白を含むもの。
ほとんどのクラッキングに見られる問題は、人々が相変わらず脆弱なパスワード(「123456」がその代表)を使っていること、さらに問題なのは、同じパスワードを繰り返し使う、ということだ。
今日サイバー犯罪に手を染める者は、こういったパスワードをたやすく、素早く破ることができる。力づくの辞書攻撃によって、ある程度の長さのあるパスワードですらせいぜい数分、早い場合は数秒で破ってしまえるのだ。さらにキーロガー攻撃もある。マルウェアが秘密裏にパソコンにインストールされ、それがユーザーの知らぬ間にひそかにパスワードを収集してしまうのである。
パスワードマネージャーを使えば、この分野でのセキュリティを向上させることができる。このソフトは新しいパスワードを作り出して、現在使用しているパスワードは保存してくれるというものだ(必要なら、クレジットカード情報も同様に保存できる)。
幸い、Googleのようなテクノロジーを持つ会社はこの分野での改善を行っており、ユーザーは強制的にパスワードをより強力なものにするよう強いられるのだが、同時にこのパスワードはキャッシュにオートフィルで書き込まれるため、ユーザーは常にそのパスワードを思い出す必要はないのである。
最後になるが、パスフレーズを採用すれば、それはとても大きな効果をもたらすことができる。これはパスワードよりもはるかに強力なものだ。その上、これは容易に実行に移すことができ、言うまでもないことだが、思い出しやすいというメリットがある。
2. 2要素認証への投資
2要素認証(2FA)は何年か前からセキュリティ補強の有効な手段として普及促進されてきた。最近では、それも広くなじみのあるものとなっている。簡単に言うと、2FAはアカウントへのアクセスに第2の情報の入力をユーザーに要求するものだ。そのため、もしパスワードやPINコードをなくしたり盗まれたりしても、ダメージを受けることがないのである。
「2要素認証システムはパスワードよりはるかに安全だ。昨年あった、もろもろのメディア組織の持つTwitterカウントへのクラッキングのような耳目を集めたものの多くは、もし2FAシステムが採用されていれば起こることはなかったかもしれない」と、WeLiveSecurityの記事では述べられている。「攻撃者がパソコンにマルウェアを仕込んでパスワードを盗んだとしても、攻撃者はまだ塀の外に締め出されている」のである。
3. 怪しげなログインの形跡がないか、メールをチェックすること
FacebookとTwitterは情報セキュリティを守る仕組みの改善を続けている。特に、侵入者とおぼしき者がアカウントにアクセスを試みたときにユーザーに通知するようにしたのは、良い工夫だ。だから、自分にその通知メールが届いていないかどうか、よく注意してメールを確認しなくてはならない。
たいていのソーシャルメディアは、怪しげなログインの試みはブロックして、即座にパスワードを変更するようユーザーに要請するものである。これにはできる限り迅速にその指示に従った方がいい。そうすれば、サイバー犯罪者がユーザーのアカウントと個人情報を悪用する機会をより少なくできるのである。
4. 怪しげなリンクに注意すること
多くの人は、自分の使っているソーシャルメディアのプラットフォームを信用しているだろう。しかし、同じことがそれを使っているほかの人についても言えるわけではないし、彼らが自分だと名乗っているその人物であるか、100パーセント信頼を寄せることもできない。そのため、プラットフォームに転送された公開リンクには用心しなくてはならない。特に、そのリンクが例えばURL短縮サービス提供の「Bitly」やSNS管理ツール「Hootsuite」を使ってURLが短縮されていた場合はそうである。
同様に、ソーシャルネットワークのプロバイダーからのものと思われるメールに貼られたリンクにも気を付けなくてはならない。ほかの信頼できる送り主から来たように見えるリンクも同様である。慎重かつ注意深くあるべきで、もし怪しいと感じるページを開いてしまった場合は、クリックジャック攻撃やその類いの詐欺被害を避けるために、そのページ上のどのボタンもクリックせずにブラウザーを閉じなくてはならない。
その代わり、そのサイトに接続するなら、アドレスバーにURLを直接打ち込むか、ブックマークを使うべきだ。なりすましは蔓延している、という事実は覚えておくことが肝心だ。バーガーキング(Burger King)のWhatsApp騒動を思い起こしてほしい。それはユーザーが焦るように仕向けたのは賢い手で、そうすることでユーザーは、その「オファー」(*3)が真っ当なものであるか否か疑問を抱く前に罠に掛かってしまうのだ。
*3 バーガーキングのWhatsApp騒動の場合、(偽の)クーポンを得るためには、簡単なアンケートに回答し、その後、このアンケートを「友達」にシェアすることを許諾しなければならない。
5. プライバシーに意識的になること
当たり前のことではあるが、ソーシャルメディア上で自分や知人の個人情報や秘匿情報をアップするのは避けること。例えば、オンラインに自分の子供の名を載せるのを嫌う親もいる。こうした場合、彼らのプライバシーを尊重するべきである。
そうすることで、私たちは若い世代とソーシャルメディアにうまく関わることができるし、どの程度親たちが関わる必要があるかも分かってくる。デイヴィッド・ハーレー(David Harley、ESETシニアリサーチフェロー)はこの問題について詳細なレポートを書いており、そこで幾つかの試みを取り上げ、丁寧に解説している。
もちろん、自分自身のプライバシーの設定にも注意しなくてはならない。各ユーザーの個人ページは、「友達」であるかどうかにかかわらずすべての閲覧者に対して開かれている。この情報を悪用して金もうけをするソーシャル・エンジニアリングのような手法をもってすれば、この公開情報を使ってなりすましを行うのはいつでも可能なのである。