「あなたのPCをハッキングし、ウェブカメラで盗撮した」といきなり脅迫されたら、あなたは平静でいられるだろうか?
2018年7月頃から、「あなたがポルノを見ている様子を録画した」と脅迫されるメールを受け取ったという報告が急増している。この脅迫メールには、パソコンをハッキングした証拠として、「メールで利用しているパスワード」が書かれているほか、ムービーを公開されたくなければ1400ドル(およそ15万円)をビットコインで支払うようにとの要求がある。この詐欺行為による被害額は50万ドル(およそ5500万円)を超えたという(Hackers Made Half a Million Dollars Pretending They Watched You Watch Porn - Motherboard)。
多くの詐欺がそうであるように、このメールの送り主は、実際にパソコンをハッキングしているわけではない。ただメールを受け取った側にしてみれば、自分の使っているパスワードが表示されているため、「ハッキングされてしまったかも」と勘違いしてしまいやすいのがポイントだ。なお、このパスワードがどこから流出したのか、まだ正確な情報は得られていないという。
この事件の教訓はなんだろうか? まず、「あなたのパソコンをハッキングした」などと脅迫するメールが届いたら、あせって行動しないことだ。「ウイルスを検出した」などという警告画面でユーザーを動揺させ、ウイルスに感染させたり、不正なアプリをインストールさせたりする「フェイクアラート」も流行している。宛先が不明なメールはむやみに開かないこと、セキュリティ対策ソフトなどをインストールしておくことが肝心だ。
なお、パソコンのウェブカメラのハッキングが気になる、あるいはうっかり不正なアプリに悪用されてしまいたくない……という場合、記事冒頭の写真のように、付箋などで直接ふさいでしまうのも一つの方法といえる。
もう一つ注意しておくことがある。今回の件に関しては、サイバー犯罪者が、流出したパスワードを不正に入手している可能性がある。あるサービスからパスワードが流出してしまうと、ほかのサービスでも同じものを使いまわしている場合、それらすべてに不正アクセスされてしまう可能性がある。つまり、パスワード管理に気をくばる必要もあるだろう。
パスワードを設定する際には、推測されにくいよう、アルファベットと数字や記号を入れ込んだものにしておきたい。パスワード管理ソフトを使うのも有効だ。クラウド経由でデータを共有できるソフトなら、パソコンからでもスマホからでもパスワードが同期されてすぐに使える。
さまざまなSNSやウェブサービスなどを利用するのが当たり前の昨今にあっては、セキュリティ対策の一環として、パスワードを強力なものにしておく必要がある。今回は、McAfee Blog「パスワードセキュリティの過去、現在、未来。そして管理の3つのポイント」を紹介する。
パスワードセキュリティの過去、現在、未来。そして管理の3つのポイント
かつて、パスワードは物理的な壁を超えるために使われていました。秘密の集会に参加するための合言葉や金庫を開けるための暗証番号など、枚挙にいとまがありません。デジタルの時代に突入し、パスワードは、私たちのSocialアカウントから電子メールに至るまであらゆるものに鍵をかける、個人情報のゲートキーパーという役割を担うようになりました。時代は変わっても、アクセスできなかった場所へのアクセスを可能にするというパスワードの役割は変わりません。つまり、パスワードを安全に管理することが極めて重要なのです。5月2日はWorld Password Day(世界パスワードデイ)でした。パスワード管理方法が時代と共にどのように変化してきたのか、パスワードセキュリティの過去、現在、そして未来について触れてみたいと思います。
過去
多数のパスワードを管理することは大変です。以前は、パスワードを紙切れやノートに書いて管理していました。このような手間が原因で、ユーザーは同じパスワードを複数のアカウントに使い回す傾向がありました。実際、昨年、実施した世界パスワード調査によると、アメリカの回答者の34%が、日頃からパスワードを使い回していると回答しました。さらに、ユーザーは覚えやすいように、できる限りシンプルなパスワードを作る傾向にあります(愛犬の名前や誕生日など)。
現在
残念ながら、現在もこうした傾向に大きな変化は見られません。今年のアンケート調査からも、パスワードのセキュリティは、まだまだ万全ではないことが明らかになりました。アンケートに回答したユーザーは、パスワードが必要なオンラインアカウントを平均23個所有しています。しかし、それに対して使用しているパスワードは平均で13個でした。31%の回答者は覚えやすいように、2~3個のパスワードですべてのアカウントを管理しています。また、パスワードを記憶するための最も一般的な方法は、すべてのパスワードを紙や電子媒体のリストで管理すること(52%)です。つまり、パスワードのリストがこの世から無くなるのは、まだまだ先のことになりそうです。
ユーザーが実際にパスワードを忘れてしまうと、状況はさらに悪化してしまいます。32%のユーザーが、週に1度の割合でパスワードを忘れています。48%の回答者は、パスワードを忘れてしまった場合、そのオンライン活動を完全にあきらめると回答しています。さらに、回答者の23%はパスワードを忘れることにさほどの痛みは感じておらず、すべての回答者が、平均して年2回、テクニカルサポートに電話をしてパスワードをリセットしていると回答しました。
未来
うれしいことに、パスワードセキュリティの未来は明るいと言えます。生態認証、多要素認証などの高度なテクノロジーを採り入れた最先端のパスワードソリューションがすでに利用されています。現に一部のウェブブラウザはパスワードの完全撤廃を目指しています。今後、こうしたソリューションは増えていくことでしょう。これ以外にも、未来のセキュリティに備えて、ユーザーが個人で取ることのできる対策もあります。パスワードに第一のセキュリティ関門としての役目を、確実に果たしてもらうためのポイントを以下にご紹介します。すでに他のブログでお伝えしていることと重複している部分もありますが、ご一読いただき、ご自身のパスワード管理について振り返るきっかけにしていただければと思います。
パスワード管理の3つのポイント:
1.強力なパスワードを作成:
パスワードは、私たちのデジタル生活への鍵です。不正にアクセスされることがないよう、必ず、強力で固有のパスワードを作成してください。数字、小文字と大文字、記号を織り交ぜてください。パスワードは、複雑であるほど破られ難くなります。また、「12345678・・・」などの連番や「password」など、よく使用され、簡単に暴かれてしまうようなパスワードは避けましょう。文字数は、だいたい8文字以上求められますが、可能な範囲で長めに(13文字など)しましょう。1桁増えるだけで、解読までにかかる時間が増大します。
2.アカウントごとに異なるパスワードを使用:
各アカウントに異なるパスワードを使用することで、ハッキングされた場合に、すべてのアカウントが危険にさらされる状況を避けることができます。多数のパスワードを管理することは大変だと感じるかもしれませんが、アカウントの安全を確保するための有効な対策です。
3.パスワードマネージャーを使用:
パスワードマネージャーを導入し、セキュリティレベルを上げてください。パスワードマネージャーを使うことで、強力なパスワードの作成や、多数のパスワードを覚えなければならないという問題が解消され、利用頻度の高いウェブサイトには自動的にログインできるようになります。
※本ページの内容は、2018年5月2日更新のMcAfee Blogの内容に一部追記しています。
原文: The Past, Present, and Future of Password Security
著者: Gary Davis
■関連サイト
