セキュリティ被害はあなたの半径1m以内でも起きる 第8回

アメリカ大統領選の裏にサイバー犯罪が!? 教訓とすべきは何か

　Photo by kristin_a (Meringue Bake Shop)

　アメリカ大統領選挙を控え、現地時間9月26日、候補者どうしが初めて直接対決するテレビ討論会が行われた。民主党のクリントン候補と共和党のトランプ候補が激しい論戦を交わし、国内外のメディアをにぎわせている。

　激化する選挙戦の裏で、こんなサイバー犯罪のニュースもある。アメリカの複数のメディアは現地時間9月22日、ホワイトハウスのスタッフのメールがハッキングされ、ミシェル・オバマ大統領夫人のパスポートのデータなどがウェブサイトに流出したと伝えた。ホワイトハウスは、事態を重く見て調査する方針を示している。

　なお、今回の選挙をめぐるサイバー犯罪はこれが初めてではない。6月には、民主党全国委員会のシステムがハッキングされ、機密情報を記した電子メールが流出したとアメリカのメディアが報じた。この事件に対してクリントン候補は、選挙に影響を与えようとするロシアの情報機関が関与した可能性があると指摘している。

　さて、ホワイトハウスを狙った攻撃、政党を狙った攻撃、それも海外の話。日本に住む我々には関係のないことだ――と思ってしまうかもしれない。

　しかし、ソーシャルメディアがこれだけ発展した現代であれば、様々な情報が世間に出ていく。我々は大統領候補でもないし、機密情報に触れることもないかもしれない。それでも、何気ない書き込み、安易なパスワードの利用などが、自分のプライバシーや、所属する企業のシステムを危険にさらすことはあり得る。アメリカのサイバー犯罪の例は、決して「他人事」ではないのだ。

　では、教訓とすべきことは何だろうか？

　日本でも有名人がサイバー犯罪に遭った例がある。5月下旬、女優の長澤まさみさんや武井咲さんのプライベート写真や個人情報をのぞき見されたと、テレビや新聞各社が相次いで報道した。芸能人が発表している公式プロフィールなどから誕生日などの情報からパスワードを推測し、FacebookやiCloudに不正にログインしたとされている。

　この事件には、SNSを日常的に利用する我々が気をつけなければならない“教訓”がある。ITジャーナリストの三上洋氏が気になるセキュリティ事件のあらましを解説する、インテルセキュリティ×アスキーの人気連載「時事セキュリティが5分でわかる」から、「パスワードの教訓、長澤まさみさんの盗まれたプライベート写真から何を得る？」をぜひ読んでほしい。

パスワードの教訓
長澤まさみさんの盗まれたプライベート写真から何を得る？

──　報道では手法はアナログというか、推測し、試行錯誤を繰り返したとあります。

ITジャーナリストの三上洋さん

「被害にあったタレントさんは6人とされています。このうち尾崎ナナさんはテレビインタビューに答え、誕生日と名前を使っていたとしていますから、パスワードが単純だったというのは明らかでしょう。芸能人は、誕生日やペット、好きな映画の名前まで、パスワードやそのカギとなる個人情報まで公にしています。その組み合わせで推測していくのは“ある意味”自然な流れです。逆に言えば起こりうる事件だったと思います」

──　過去にはこうしたことはなかったのでしょうか？

「実は1月にも同種の事件が起きています。容疑者は岐阜県の職員で、元SDN48のメンバーやグラビアアイドルなどのGmailにアクセスしたという事件がありました。この時も被害者は、名前や誕生日をパスワードに使っていたそうです。“下の名前＋誕生日の数字4桁”は誰もが最初に思いつきそうな組み合わせです。パスワードを付ける側にも問題があります」

何気ない書き込みが、不正アクセスの原因になることも

──　1000人を超えるIDとパスワードの組み合わせが残っていたと報道ではありますが。

「これは推測しやすい組み合わせを使っていた人がこれだけいたということだと思うんです。1000件ものパスワードを具体的にどうやって破ったかは明らかになっていませんが、パスワードを破っていく楽しさがあったというコメントがあるように、最初から女性を狙った可能性が高いですね。最初にターゲットの女性を決め、FacebookやTwitterやBlogなどの情報を集めていって、試していく。超アナログな方法です。しかし、ソーシャルメディアがこれだけ発展した現代であれば、様々な情報が世間に出ていく。何気なく書いた犬の名前や自分の誕生日もヒントになる」

──　何を教訓としていくべきでしょうか。

「パスワードが大切だと分かった。ただし今回怖いのはFacebookではなくiCloudです。FacebookやTwitterとの違いは、iPhoneのバックアップがiCloud上にそのままある可能性が非常に高いことです。アップロードするつもりが一切ない写真も保管されている。場合によっては削除したものも含めてです。iPhoneのデータを丸ごとバックアップしていれば、アドレス帳、スケジュール、メール、アプリも一覧もすべて残っている。犯人が同じiPhoneを作れてしまう可能性すらありました。報道の中でも、写真がかなりの枚数が流出したとされていて、そこからも犯人がiPhoneのバックアップを見ていたことが想像されますね」

iPhoneのバックアップをiCloudに保存している場合、パスワードの漏えいは一大事に！

──　iCloudというと海外セレブのセルフヌードが流出して問題になりました。

「はい。ただしこちらは秘密の答えが破られたものだと言われています。ただし秘密の答えもタレントさんの場合は推測しやすいでしょう。お母さんの旧姓は？とか、小学校の名前はなどですが、著名人であれば容易に調べられそうです。

敢えてパスワードを覚えないという選択も取るべき

──　個人でもSNSは使いますから、気を付ける必要がありますね。

「今回の事件でパスワードの大切さが改めて認識されたわけですが、我々のプライバシーを守るカギなんだという点を理解してほしいですね。破ればあなたのすべてが見られてしまう。となれば単純なカギではなく、シリンダーロックやゲージロックといった最新のカギを選ぶべきです」

──　いま一番有効な対策は何でしょう。

「大きく3つです。ひとつはパスワード。複雑でランダムなパスワードを使いましょう。8桁以上で大文字・小文字・数字は入れてほしいですね。簡単に作れる安全なパスワードは何かとよく聞かれます。例えば今までのパスワードの後ろに一文字追加しましょうとか、後ろのTwitterのアカウントを入れましょうとか、名前と誕生日を互い違いに打っていきましょうなどと言われています。確かに何もしないよりはいいですが、こういった規則性を持たせることが最悪なのです。マサミという名前に何かを追加する。となるとパスワードの文字列に必ず「MASAMI」という文字が入りますよね。6文字固定なんですよ。仮に10桁にしても4文字推測するだけで済む。逆に危ないパスワードです」

──　確かにそれは見逃してしまいがちです！

著名人は、秘密の質問になりそうな事項が公になっている場合が少なくない

「規則性を求める理由は、覚えることを前提としているからです。逆にこれからは“パスワードは覚えてはダメ”と認識したほうがいい。覚えようとするから単純になる。機械任せにしたり、本人ですら覚えられないものにしてしまえば、推測のしようがないはずです。例えばPCのメモ帳に、キーボードの乱れ打ちを打ち込んで、パスワードにしてしまう。それは紙のメモ帳に一覧にしたり、Excelの表に入れておいてはどうでしょうか」

「このExcelの表についてはロックをかけてパスワードを入れる。それはマスターパスワードになるので、覚えるか、紙のメモにする。有料のパスワード管理ソフトを使えばよりよいですが、全ユーザーにそれを強いるのは難しいでしょう。そこで紙のメモにしましょうと勧めることが多いですね」

「この紙のメモは常に持ち歩かずに、ブラウザーやスマートフォンに覚えさせてしまいます。パソコンやスマホを買い替えたときやソフトを入れなおすときだけ再度入力します。普段は使わなくていいメモです」

iCloudとGmailのパスワードは必ずほかと分ける

──　2点目のポイントはなんでしょうか？

「もうひとつ大事なのは、使いまわしてはダメということ。今回の場合ですとFacebookとiCloudの両方をやられている人がいます。報道はされていませんが、パスワードを共通にしていたと仮定すると、他のサービスも不正ログインされている可能性もあります。ひとつひとつを別のものにするのは手間がかかりますが、ぜひ時間をかけてすべてのネットサービスのパスワードを変えてほしいと思います」

「特にiCloudとGmailのアカウントに関しては最優先で変えてほしい。iCloudについてはアクセスできる個人情報の範囲が極めて広いためですが、GmailはGmailで登録した別のネットサービスすべてがやられてしまう可能性があるためです。パスワードを忘れた方はこちら……といった形でパスワードの再発行を促すサービスは非常に多いです」

「一昨年のLINEの乗っ取り事件は過去に起きたパスワードの漏えいがきっかけになりました。パスワードリスト攻撃と呼ばれていますが、最近でもアメーバの5万アカウントの流出がありました。意図しないところで漏れたパスワードが後々悪用される可能性があります」

パスワードの使い回しをしている場合、iCloudとGmailは最優先で変更しよう！

二段階認証の電話番号登録は必ずする、安全への近道

──　そして最後のポイントは？

「最後にネットサービスのセキュリティ機能を使いましょう。Facebookにはログイン承認というものがあります。これはアクセスする際に、もうひとつ別の端末がOKをしないと、承認されない。一種の二段階認証です。つまり、あらかじめ登録してある端末からOKを出さなければログインできないことになります。これを使えばIDとパスワードがバレていても、ログインできなかったはずです。不正なアクセスにも気付けたでしょう。iCloudにも2ステップ確認という同種の機能があります」

「いずれも電話番号を登録してくださいと出てきます。電話番号の登録は気持ち悪いから敬遠する人が多いと思いますが、実際には登録しておいたほうが安全です。登録しておかないとログイン承認や2ステップ確認の通知が来ません。また電話番号を登録しておけば、リセットした際にも戻せます。だから必ず登録してほしいと思います」

「もちろん、リテラシーの高いアスキーの読者であれば、手軽で高機能なパスワード管理ソフトを検討してほしいですね」

たとえば「True Key」の場合、1つのマスターパスワードさえ覚えれば、後は指紋などの生体認証をパスワード代わりにできる