いくつかの有用な情報
先日のiCloudがハッキングを受けた事件では、ある女優が個人のアップルアカウントに入れていた写真が暴露され、私を含めた多くの人が慌ててパスワードを変更する羽目になった。
The Next Webの報道によると、今回のハッキングはアップルの「iPhoneを探す」機能の脆弱性によるもので、攻撃者による「ブルートフォース(総当たり)攻撃」でパスワードが知られてしまったという事だ。
アップルはこの報道については否定しており、今回の攻撃は特定のターゲットの、ユーザー名、パスワード、セキュリティ・クエスチョンを対象にしたものだと主張している。これらはほぼすべてのオンラインアカウントでキーとなる情報だ。
有名人がアタックを受けたということは、あなたがアタックを受ける可能性もあるということだ。では何をすればいいのだろう?
クラウドを理解する
強固なパスワードは攻撃者から身を守る手段の1つに過ぎない。そして気にかけなければならない情報は写真だけというわけでもない。女優がきわどい写真を撮った事に舌打ちしているユーザーは、自分のデータがどこに格納されているかについてよく考えなければならない。そうだ、女優の写真と同じく、クラウド上に保存されているだろう。
「クラウド」について言えるのは、誰も本当にそれを理解していないという事だ。これはネット越しにアクセスしているサーバーの事をわざわざ不明瞭な形で表現する単語といえる。
映画「ズーランダー」(Zoolander)でオーウェン・ウィルソンが演じるキャラクターが、突然「ファイルはコンピューターの中にある」という事を閃き、マシンを開けて中身を探すシーンを覚えているだろうか?これがクラウドになったとしても、私達の理解は同じようなものだ。
CNNですら、視聴者にクラウドとは何なのかを説明できないまま、「流出したヌード写真はおそらくクラウドから漏洩した」というストーリーを流した。
— Sam Biddle (@samfbiddle) Sep 3, 2014
クラウドサーバーはその他のコンピュータと同じく、ファイルを保存し、保存したファイルは読みだす事が出来る。それらはクラウド上に存在するので、アクセスは物理的制約を受けることがなく、またディスク容量は大抵個人のPCよりはるかに大きいため、自分のマシンのディスク残量を心配する必要もない。
こういった利便性の代償がセキュリティだ。ユーザーネームとパスワードだけでファイルにアクセスできるということは、それを知っている人なら誰でもそのデータにアクセスできるということである。またその安全性についても、ホスティングを行っている企業が最新のセキュリティー・プロトコルを使用しているかどうかに依存する。
DropboxやBox、Google Driveなどのストレージサービスにより、ファイルの保存や共有は容易になった。アップルのクラウドストレージサービスであるiCloudでは、PCやスマートフォンの買い替え等に備えて写真やドキュメントといったデータのバックアップを自動的に作成する。
これらのサービスを利用するにあたって、私達は元よりセキュリティやプライバシーは守られているものだという考えている。自動的にデータを企業のサーバーにバックアップするような場合は殊更そうだ。しかしこういった思い込みは時として失敗の元となる。
適切なクラウドストレージを見つける
クラウドストレージのセキュリティを完全なものに保つには、後ほど述べるような様々な課題を乗り越えなければならない。しかしまず第一に行うべき事は、自分のデータをどこに保存するかを決めることだ。
リサーチせずにクラウドサービスにサインアップしてはいけない。ここでいうリサーチとは、データを預けようと思っている企業のプライバシーポリシーに目を通すことも含む。データの暗号化はされているだろうか?政府からの要求があった際、その企業はデータを提出するだろうか?彼らが使用しているサーバーは自前で運営しているものか、それとも別の企業からレンタルしているものだろうか?(例えばDropboxやアップルは、アマゾンのサーバを利用してオンラインサービスを提供している)
もしセキュリティが一番の優先事項なのであれば、SpiderOakの様なサービスを検討するといいだろう。SpiderOakの場合、データは自動的に暗号化され、サービスを提供している企業ですら何がアップロードされているのか知りようがない。しかし、こういった選択はDropboxやGoogleDriveの持つファイル共有の簡便性を諦めるという事を意味する。
多くの人の場合、利便性の方を選択するだろう。しかし少なくともセキュリティと利便性を秤にかけているという事は理解しておくべきだ。
安全なパスワードを使う
アップルによると、攻撃者はユーザーネーム、パスワード、セキュリティ・クエスチョンを絞り込んできたという。これらはユーザーが自分の身を守る第一線となる。
単にSを$に替えるなどの対策では、パスワードをセキュアなものにすることは出来ない。サイトでパスワードの使い回しをしているのなら尚更だ。攻撃者はセキュリティが甘いサービスからユーザーネームとパスワードを入手し、それを別のサービスで試すのだ。
Oh my god on CNN: “Just use really strong passwords that is all you can do. Instead of using ‘password’ replace the s with a $”
STOP IT
— Jessy Irwin (@jessysaurusrex) Sep 2, 2014
Jessy Irwin:「CNNがやらかした…
CNN:『あなたが唯一できることは、強固なパスワードを使用することです。ただ単に”password”とするのではなく、sの代わりに$を使うなどしてください』
かんべんして」
文字や数字に加え、記号を混ぜるやり方はよりスマートで、パスワードの予想を不可能ではないにしろ困難なものに出来る。もっとも良いパスワードとは文字・数字・句点をランダムに並べた、辞書で探せる単語が全く含まれていないものだ。オンラインアカウントごとに異なるパスワードを使用するのが良い。
管理し続けるのは無理に思えるだろうか?コンピュータによるアシストが無ければきっと無理だろう。1PasswordやLastPassといったパスワードマネジャーを使えば、パスワードを保存・管理し、複数のデバイスからデータにアクセス出来る。
2段階認証を利用する
もし誰かがクラウド上のあなたの個人情報に不法にアクセスしようと試みたとして、あなたはそれに気づかないだろう。それも2段階認証が無ければの話だ。
2段階認証では、個人のデータにアクセスするために、2種類のデータを入力する必要がある。大抵はパスワードと携帯デバイスに送られてくる自動生成されたテキストだ。このテキストはログインのたびに変わる。
2段階認証は時間がかかるし面倒くさいかも知れない。多くのユーザーが利用しない理由だ。しかしこれは攻撃者にクレジットカードの情報や写真を抜き出されない為にかける手間を省いてくれるかも知れない。
グーグル、Dropbox、アップル、Box、アマゾン ウェブ サービス、マイクロソフトといった企業は2段階認証を提供している。
ファイルを暗号化する
もしSpiderOakやMegaの様に、ファイルを自動的に暗号化してくれるようなサービスを利用していない場合、自分でファイルを暗号化できる。
グーグルやDropbox、マイクロソフトはファイルの暗号化をビルトイン機能として提供していない。ファイルをデータセンターに送る通信は暗号化されても、サーバーにログインして見られるファイルは暗号化されていない状態だ。利用が難しかったり、暗号化の提供が企業にとって複雑な事だったりするため、多くの消費者は特にこれを望まない。WIREDによると、
Google Driveにサーチ機能が付いていなかったり、Dropboxでプレビューが出来ないような事を想像してみて欲しい。これらの機能はファイルがサーバー上のソフトで読み込めることが前提なので、ファイルが暗号化されていたら機能しない。そしてもしグーグルがその暗号鍵をもっていない場合、あなたがパスワードを無くしたらどうしようもなくなる。
BoxcrytorやViivoは自前のクラウド暗号化機能を提供している。これを使ってアップロード前にファイルの暗号化を行うことが出来る。彼ら企業は復号のための鍵にアクセス出来ないため、あなたの鍵が漏洩しない限りファイルは安全な状態に保たれる。
私達はさらに良い形による情報の保護が必要になるだろう。アップルのTouchID指紋認証は生体認証の試みとして面白い一例だった。PayPalのBraintreeは取引中に携帯電話がどの様に使われているかという情報から、偽物を検知することを狙いとしている。これら企業はネットワーク上で攻撃者を検知するための優れた行動モデルを利用している。
いつの日か、同じような技術により、携帯での入力時やデバイスにアクセスした時に、データにアクセスしようとしているのが間違いなく所有者本人である事が分かるようになるのかも知れない。
その日が来るまでは、パスワードを変え続け、2段階認証を利用し、問題が起こらないよう祈るしか無いだろう。
トップ画像提供:StockMonkeys
Selena Larson
[原文]
※本記事はReadWrite Japanからの転載です。転載元はこちら
