ネット上でよく見かける「不正アクセス被害の原因」は、だいたい自分のせいである。
企業のせいにしたい気持ちもわかる。だが、自分のせいなのに企業の印象を下げてしまうと、印象低下の代償としてアカウント閉鎖に追い込まれかねない。
どれほど自分がセキュリティを疎かにしていたのか、どのようなレベルの手口で罠にハメられているのか。
上記2つの疑問を解消していく。
狙われるタイプから逃れる
「下手な鉄砲も数撃ちゃ当たる」ということわざがあるとおり、「罠を沢山増やしてたまたま引っかかった人の情報を抜く」といった作戦が多い。
つまり、悪い人は「そのサービスを利用しているだろう確率の高い罠」を仕込み、大雑把だが選別している。
冒頭でだいたい自分のせいと言ったが、もちろん企業から流出(漏洩)することもある。
見極めの難易度が高いため「基本無視」でいいが、不要なアカウントはできるだけ削除(退会)しよう。
しなければいいことまとめ
- VPNを使わずに共有Wi-Fiを使う(暗号化された有料Wi-Fiでも)
- 自分がお金を持っているとバレる拡張機能・アプリの使用
- 古いバージョンを使い続けない
- httpのサイトで個人情報を入力
- 金融サービスのURLを確認せずにアクセス
- アカウント情報使い回し
- パスワード適当
- root化(脱獄)
- 大手アプリと似たようなアプリを使う
- 手当たり次第にアプリを入れまくる
- 手当たり次第に拡張機能を入れまくる
だいたいこのような感じなので、心当たりがあれば読み進めて確認しよう。
高度に仕組まれた不正アクセスのされ方
もちろんすべて「100%安全でない」というわけではない。
本当に必要なものだけ使用し、それ以外は無視、またはお金を払ってセキュリティを買うだけで対策になる。
暗号化された共有の有料Wi-Fiを使う
フリーWi-Fiの危険性もさることながら、暗号化された「共有」Wi-Fiはたとえ有料でも同じパスワードを使用している。
Wi-Fiに同居している=「フリーWi-Fiと同じ状態になっている盲点」は常に警戒しておこう。
暗号化されたWi-Fi参考パスワードが公開された公衆無線LAN、暗号化されていても盗聴できる?(アカウント登録必須)
一人専用なら大丈夫なので、一番現実的なのはVPNで自分専用回線にするのが簡単だ。
セキュリティ向上の割に安価で利用できるし、無料のサービスもある。
上記のことはカフェや公共施設を想定しているものだが、シェアハウスも盲点だ。さらに、アプリの通信が暗号化されているかどうかも確認ができない。
お金の関係する拡張機能を使う
本当に使う必要があるのか考え直そう。
拡張機能(アドオン)の権限は、「開発者が後から変更」することができる。
そして、悪い人は「どうせ引っかかるのならもうちょっと効率を良くしたい」と考え、「お金の関係しない人のページを差し替えても中身がなければ時間の無駄」という結論にたどり着く。
お金を持っている人に絞る必要があるので、必然的に「お金を持っている人が使いそうな拡張機能を開発」しだす。
結果、セキュリティではなく利便性を優先したターゲットに絞り、「当選した人が不正アクセスされる流れ」が誕生する。
簡単な不正アクセスのされ方
題名で「ネタバレ」している。
それほどまでに常識であり、知らないということは確実にターゲットにされている項目だ。
httpのサイトで個人情報入力
httpは暗号化されていないため、「個人情報を入力したら盗まれる」と思ってもらって良い。
閲覧している内容もわかるようなので、不思議なサイトを見られたくなければVPNを検討しよう。
といっても、どことは言わないが一部の業界でhttpが生き残っているので、引き続き「s」がついているかついていないかを確認する必要はある。
もちろん見られても困るサイトでなければhttpで問題ない。
URLを確認せずに偽サイトにアクセス
いわゆるフィッシング詐欺だ。
最近はブラウザ側で防御したり、アンチウイルスソフトにだいたい付いてくる機能のため、あまり気にならなくなった。
だが、対策してもすごいスピードで偽サイトを量産してこられると、防御サービスがブラックリストに入れるまでに間に合わず、普通に偽サイトにアクセスできてしまう。
確実に公式サイトを知っているなら、URLを完璧に見極めよう。
送られてきたメールにアクセスする必要はほぼないが、そこを狙われ広告を使い「検索上位に偽サイトが準備されていたり」することもあるので、検索からではなく事前にブックマークしておいた本物サイトへのリンクが一番安全だ。
もし不審なサイトがあれば、aguse.jp: ウェブ調査というサイトで調べることはできる。もちろんブラックリストに載っていない可能性もあるため過信は禁物。
アカウント情報使い回し
「悪質な迷惑行為」の代表格、パスワード使い回しのことだ。
使用しているサービスから流出したわけではなく、どこかで流出した情報をもとにリストで攻撃されるため、企業側は防ぎようがない。
「1箇所使い回ししている!」という事実だけでも「発言の権利剥奪」ものだ。
企業側からすれば注意喚起をしているのに流出した際に「企業のせい」にされるリスクもあるため、ちょっとだけ企業のことを考えてくれる優しさがほしい。
root化(脱獄)
不要。聞いた段階でわからない人がやるものではないので、わからないのなら次の章まで読み飛ばそう。
セキュリティの穴が増えるおそれと引き換えに、「ゲームを有利に進める」・「初期から入っているアプリを消す」といったことでよく紹介されている。
「公式ストアにないアプリをインストール」するケースなど一線を越えまくっているため、まったくオススメできない。
不要なアプリを消したいのもわかるが、消したところで「通信と電池残量」がどの程度変わったかわからず、ただの自己満足で終わるという結果を知り、「どうでもいい」ということにしておき今すぐこの単語を忘れよう。
Googleのアプリと大差のない似たようなアプリを使う
1社依存を推奨。
利便性は本当に大きく変わっているのだろうか? 知らないアプリに権限を与えるなら、多少我慢をして1社に絞ったほうが良い。
「Google(Android)」と言っているが、「Apple(iOS)」も同じことだ。
AndroidとiOSを使っているということは、この2つの企業の商品をすでに使っている=「選択肢がないから強制的に信用している」といった状態である。
かかわらざるを得ない企業のサービスに絞ることで余計な情報流出の数が減り、ターゲットからも逃れられる。
もちろんベンダーロックイン(メーカー依存)の問題もあるため、1つ流出すると全部危険に陥るかもしれない。
ただ、この場合は1つに絞るべきのベンダーロックインであり、当サイトは無視を推奨する。
ちなみに、以下のような似たアプリがGoogleに存在するので、先にGoogleのアプリを調べ、その後に他のアプリを調べよう。
- メモ → KeepまたはTodoリスト
- アラーム → 時計
- 電話帳 → 連絡帳
- 電卓
- QRコード → 端末のカメラに付いていないか確認
非公式アプリを使う
Webで見られるものはWebで、激烈に利便性が上がらないのなら使用を控えよう。
権限がどうなっているかわからず、「常に画像を不正入手されている」と勘違いすることで一気にインストールする数が減るはずだ。
簡単なセキュリティ対策まとめ
- 余計なものは入れない
- 共有Wi-Fiは使わず、VPNを駆使する
- バグをおそれず、すぐに最新版にする
- パスワード管理ソフトを使う
- 何でも暗号化する
- お金持ちになる
「便利だから入れなよ!」という友達付き合いは、仕方なく入れよう。
対策・暗号化を駆使する
極端な話、「何でも暗号化」することで最強になれる。
暗号化自体はこちらでする必要はなく、ポチポチするだけで簡単にできるようサービス側が「面倒な手順」を省く設計にしている。
VPNで通信を暗号化
シェアハウスの盗聴の件は気持ちが悪いので想像したくないが、「暗号化された共有の有料Wi-Fi」を使用していた方は別途VPNの購入を進める。
やっていることがセキュアのわりに非常に安い。もちろん無料も存在。
無料のものは利用規約に「ログ(閲覧)の保存」と書いてあることもあるので、「ノーログポリシー」かつ当然のセキュリティを持ったサービスだけ使おう。
くれぐれも盗聴されないようにVPNを使用したのに、「VPNサービスに盗聴のようなことをされる」ことのないよう以下の記事を参照するといい。
パスワード管理ソフトで暗号化
当サイトは「パスワード管理ソフトの選択の仕方」から「使い方の記事」まで充実している。
パスワード管理ソフト最強の2つしか紹介していないので、自分にあったソフト・アプリを簡単に判別できるだろう。
それでもなお手抜きパスワードを使いたいなら、こちらのテクニックで強化だ!
覗き見・盗み見対策
特に注意すべきなのは電車内だろう。
これらで流出させたアカウント情報は、同じく自分のせいになる。それほど初歩的なミスなので、時間があれば修行するといい。
暗号化ソフトを使う
システム(OS)そのものを暗号化するものや、クラウドを暗号化して「サービスの信頼度」を無視する使い方が存在する。
食べ物で例えると、「安全だと信じて食べる」部分を無視して強制的に暗号化できるのが非常に良い。
もともと上記のような動作で暗号化されているクラウドもあるぞ!
パスワード強度底上げ機能
日本のサービスはまだ普及していないが、海外では当たり前になっている「2段階認証」。
パスワードを変えずに「記号を含めた64桁のパスワードになるのではないか」と思うほどの強度になれるので、そろそろ使ってみては。
コメント
2段階認証が64文字、というのはその通りだと思います。
64文字だろうがなんだろうがだめなときはだめ、という意味でですが。
そんな感じ!∩(・∀・∩