2020年を迎えるにあたり、「年始の抱負」を決めた人も多いのではないだろうか。しかし、サイバーセキュリティに限って言えば、「何をすべきか」よりも「何を避けるべきか」が有用な提案となる。今回の記事では、2020年をより安全に乗り切るために、サイバーセキュリティにおいて「避けるべき勘違い」を紹介する。前編・後編合わせて20のヒントについてお届けする。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
自分が被害者となる可能性を否定すること
自らがサイバー攻撃のターゲットになる可能性は、ゼロに等しいと考えている人がほとんどではないだろうか。しかし、映画「ジ・オフィス」のドゥワイトの言葉を引用すると、「それは全くの間違い」である。インターネットに関する限り、影響の有無は予測不可能と認識を改めるべきだ。例えば、新種のマルウェアが登場する可能性や、普段利用しているサービスがハッキングされ、パスワードが漏えいするといったことが起きる可能性は否定できない。これらの事象が自らの身に降りかかる可能性があるということを認めることが、インターネット空間で身を守る第一歩となる。
怪しいリンクをクリックすること
今や日常茶飯事となっているスパムメール。被害を及ぼさないようなものもあるが、悪意を持ったものも少なくない。メール文面では、プレゼント獲得のチャンスを訴え、見るからに怪しげなリンクをクリックするように促す。しばしば、これらのメールで魅力的なオファーを掲載しているものもある。スルーしてしまうには惜しいと考えてしまうユーザーの気持ちを見透かしているようだ。しかし、そのメール内のリンクは絶対にクリックしてはならない。こうした文面に記載されたリンク先には、使っているデバイスに大損害をもたらすマルウェアが潜んでいる可能性があるからだ。
パッチを当てず放置すること
デバイスを利用していると頻繁に目にする、アップデートのインストール通知。その通知は使用しているスマートフォン(以下、スマホ)のOSで最新のパッチがリリースされたことを知らせるものかもしれない。場合によってはアラームのスヌーズ(二度寝を予防するために一定時間ごとにアラームが繰り返される機能)をタップして解除するよりも、アップデートを「後で実行する」のボタンをタップする回数のほうが多い人もいるかもしれない。睡眠に関する習慣については割愛するが、少なくともデバイスに関してはソフトウェアの利用可能な最新版を常にインストールしておくべきである。長い目で見れば、こうした対応は悩ましい問題の削減に寄与する。悪名高いマルウェア「WannaCryptor」は、デバイスにパッチを当てていなかったことにより拡散に至った。
同じパスワード使い回すこと
多数のパスワードを記憶することは難しい。そのため、同じパスワードを使い回すユーザーも少なくない。同じパスワードやパスフレーズを再利用する、あるいは1文字か2文字だけ変更する、もしくは文字を追加する、といった方法だ。こうした対応は避けるべき方法である。悪意を持った人物がパスワードのどれか一つでも見つけてしまうと、他のパスワードもそこから推測できてしまうからだ。
二要素認証(2FA)を使用しないこと
多要素認証(MFA)としても知られる二要素認証(2FA)は、自らのアカウントをもう一段階、安全なレベルに引き上げる簡単な方法である。有名なオンラインサービスが使用する最も一般的な二要素認証は、電話端末に送信される認証コード付きのテキストメッセージだ。これは、最も基本的な方法の一つであるが、他に選択肢が無いのであれば少なくともこの方法を使用すべきだろう。アカウントにログインするハードルが上がるため、確実な侵入策を手にしている攻撃者以外は、代わりに他の簡単にログインできるアカウントを探すはずだ。
ルーターを初期設定のまま使用すること
スマートホームという概念において、ルーターはいわば家庭内の心臓としての役割を担う。インターネットを使うデバイスは、スマートTV、スマホ、コンピューター、ラップトップ問わず、すべてルーターに接続される。これほど重要な役割を担っているにも関わらず、多くの人は設定をシビアに考えていない。設置時に最低限の必要事項に対応する、あるいはISPが事前に設定した初期設定のままで使用していたりする。しかし、ルーターの安全性を確保するための対策を講じなければ、安全にインターネットを利用することなどできないことを理解すべきだろう。
公共Wi-Fiを利用すること
カフェ、レストランなどの店舗では無料Wi-Fiサービスを提供しているところも多い。ユーザーにとっては貴重なギガ(データー通信料)を節約できる、ありがたいサービスのように思える。しかし、その恩恵を受ける前に一度、思いとどまりたいところだ。安全ではない公共Wi-Fiに接続することで、個人情報が盗まれる、モバイルデバイスがハッキングされる、という被害に遭遇する可能性がある。
VPNを軽視すること
職場のサーバーに接続する際に、VPN(バーチャル・プライベート・ネットワーク)を経由するユーザーも少なからずいるだろう。しかし、プライベートにおいてもVPNを使用すべき理由がいくつかある。例えば、VPN経由であれば、遠隔でのホームネットワークへのアクセスや、スマホでの行動をISPに把握されないように制限が可能となる。自分の通信を保護するために、利用する目的に応じてさまざまなVPNサービスから最適なものを選択できる。
セキュリティソフトのコストをケチること
インターネットは利便性の高いツールであることに疑いの余地はないだろう。しかし、ジョージ・R・R・マーティン(G.R.R. Martin)の言葉を借りれば、「闇と恐怖に満ちている(The night is dark and full of terrors)」のもインターネットだ。そのような危険性を認識し、自らのデータを保護するためにも、常に評判の良いセキュリティソフトを使用すべきだ。不審なリンクをクリックしたことで、コンピューターに影響を及ぼすマルウェアに感染するかもしれない。セキュリティソフトは、さまざまな脅威を阻止するため多層で防御を図っている。予防はセキュリティの基本的な対策である。例えば、歯の治療は歯の予防よりもコストが高い。そのため、スポーツ選手の中には予防策としてマウスピースを使用していることも多い。これは個人情報など、データ全般に関して考える場合も同じことが言えるだろう。
バックアップと暗号化を過小評価すること
思いがけない事態でコンピューターが不具合を起こした場合、バックアップが復元に役立つはずだ。機密情報をはじめ、直近利用しているファイルも含め、常にバックアップしておくことを心がけたい。万が一の事態の発生やデバイスの紛失が起こっても、作業を続行することができる。そして、暗号化に関しても同様に考えるべきだ。データの暗号化を決して過小評価すべきではない。仮にハッキングされたとしても、暗号化されていればデータへのアクセスは困難を極めることになる。また、デバイスが盗難された場合でも、暗号化されていれば、遠隔でのデータ消去の実行までの時間稼ぎをしてくれるだろう。
今回の記事では20のうち10の「してはいけない」を紹介した。後編の記事ではスマホにフォーカスした「してはいけない」を紹介します。