著作者:vectorjuice/出典:Freepik
個人は大丈夫でも、企業から流出したら?
2023年になったが、未だに不正アクセスの被害は後をたたない。テレビやネット上のニュースで、電力会社や保険会社などで発生した情報漏えい事件を知った人もいるだろう。
インターネットに接続している場合、悪意のある攻撃として、外部から意図しない通信が送られてくる場合がある。このような攻撃に対しては、不正アクセスなどを防止するファイアウォールの導入が肝心だ。
在宅業務やテレワークが普及した現在では、ノートPCなどを外部に持ち出す機会も増えており、そのようなPCが不正アクセスの対象になることも多い。そのような場合のセキュリティを強化するべく、パーソナルファイアウォールの導入は重要といえる。
ただ、ID、パスワードなどのアカウント情報の管理ができていないと、そこからアカウントの権限を奪われる可能性もある。個人の場合はもちろん、企業の場合も不正アクセスの被害に遭うことがある。我々がニュースで聞く事件は、主に後者のケースだろう。
企業への不正アクセスなどによる情報漏えいが怖いのは、「個人でできることはないのでは」と思ってしまうことだ。セキュリティに気を配り、個人情報の扱いに細心の注意を払って過ごしていたとする。それでも、機関や、企業などからデータ流出が発生してしまうとするならば、どうやって対策をすればいいのだろうか。
企業から、顧客のデータが流出してしまったとする。サービスにログインするためのIDとパスワードも含まれている場合、そのデータを入手した人間は、他のサービスにもそのIDとパスワードで不正アクセスを試みることがある
ポイントは、「他のサービスにもそのIDとパスワードで不正アクセスを試みる」点だ。つまり、サービスごとに異なる複雑なパスワードを設定しておくことで、不正に情報が流出しても、不正アクセスなどの可能性は下がるとされている。逆に、他のサービスでも同じパスワードの使い回しをしていると、不正アクセスを許してしまう可能性がある。
安易なパスワードの設定はNG
不正アクセスを防止するには、「自分だけは大丈夫」と思わずに、プライバシーを守る意識を持ち、リスクに気をつけることが大事になってくる。ファイアウォールなどの導入はもちろん、パスワードにも注意が必要だ。
「password」のような英単語を使ったり、「123456」のような単純な数字を羅列したりしたパスワードは、推測されやすいので避けたいほうがよい。アルファベット、数字、記号などを混ぜ、長い文字数にすることが推奨されている。
たとえば、「password」という単語を使うとしても、「p@ssw0rd」のように、アルファベットを記号や数字にするというような、自分だけのルールを用意して変換したり、同じようなルールで変換した別の単語を付け加えたり……というひと手間をかけるとよい。
サービスごとに設定した複数のパスワードを覚えておくのが大変だという場合、紙などに書き、肌身離さず持ち歩くという手もある。この方法で気をつけたいのは、あくまで、自分にしかわからないパスワードを思い出せる情報を書いておくこと。「パスワードそのものは書かない」のがポイントだ。
自動生成で複雑なパスワードを作成する、パスワード管理ソフトを利用するのも手だ。クラウド経由でデータを共有できるソフトなら、パソコンからでもスマホからでもパスワードが同期されて利用できる。「パスワードの管理は面倒だ」と思っている人なら、導入してみるのもいいだろう。
ログインの際に、パスワードだけでなく電話番号(SMS)などによる認証も必要になる「2段階認証」(ログイン認証)などもセキュリティの強化として有効になる。
不正アクセスによって、自分のIDやパスワードが流出した疑いがある場合、パスワードの変更は必須となる。もちろん、新しいパスワードは、以前のパスワードとは無関係の複雑なものにすること。メールアカウントに関連するセキュリティーの質問(いわゆる「秘密の質問」)がある場合は、あわせて変更しておく。
もし、他サービスのアカウントでも同じパスワードを使用しているなら、パスワードを必ず変更しておくこと。ウイルスやマルウェアがないか、セキュリティソフトでコンピューターをスキャンするのも必須の作業だ。
あわせて、ファイアウォールの設定はもちろんのこと、不正アクセスをされる原因となる脆弱性への対策も必要になる。OSやソフトなどで修正プログラムが配布されたら、速やかに適用しておこう。
今回は、McAfee Blogの「オンライン上で安全を保つための10のヒント」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
オンライン上で安全を保つための10のヒント:McAfee Blog
個人情報や金融情報を安全に保つためには、まず重要なアカウントに対して強力なパスワードを設定することが一番の方法であるということは以前からよく言われてます。これは1度のデータ侵害で、何万ものユーザーパスワードが外部に漏れてしまうといった企業のハッキングが拡大している現代には、必要不可欠なルールといっても過言ではないでしょう。もし、SNSやオンライン銀行口座など、インターネット上の様々なサイトでパスワードを使い回していると、ハッカーはたった1つのSNSなどへの攻撃で流出したログイン情報データ等を利用し、他のサービスにもログインしてしまいます。そうならないためには、パスワードマネージャーを使って、すべてのアカウントに強力なパスワードを作成し、保存することをお勧めします。
また、それぞれのオンラインアカウントに多要素認証機能が備わっているかどうかを確認しましょう。これは、本人確認の際に複数の情報を必要とする機能です。例えば、あるアカウントにログインする際、パスワードやパスフレーズに加えて、携帯電話に送信されるコードを入力する必要がある場合など、通常のパスワードを1回のみ入力するログイン方法よりも、よりセキュリティが厳重になっています。
2. ネットワークセキュリティの強化ログインの安全性が向上したら、接続の安全性を確認しましょう。おそらく自宅や職場ではデータを暗号化するパスワード保護されたルーターを使っていることと思います。しかし、外出先では、公共の無料Wi-Fiを利用したくなるかもしれません。しかし、公共のWi-Fiの問題点は、その多くがセキュリティの確保がされていないことです。つまり、ハッカーが比較的簡単にあなたのデバイスにアクセスし、情報を盗むことができてしまいます。その解決策として、VPN(Virtual Private Network)を使用することを検討してみてはいかがでしょうか。VPNとは、インターネット上に安全な接続を構築するソフトウェアで、どこからでも安全に接続することができます。
3. ファイアウォールの使用ネットワークが安全になった場合でも、より安全を確保するためにはファイアウォールを使用する必要があります。ファイアウォールとは、コンピュータやデバイスへの不正アクセスを防ぐための電子バリアで、しばしば包括的なセキュリティ対策ソフトに付属されています。ファイアウォールを使用すると、スマートサーモスタットやWebカメラのようなIoT(Internet of Things)デバイス含め、ネットワークに接続されているすべてのデバイスのセキュリティが確保されます。しかし、多くのIoTデバイスには、セキュリティ対策が搭載されていないため、ハッカーがネットワーク全体に侵入するための脆弱なポイントとなってしまうという点は注意が必要です。
4. クリックする際は慎重に高性能な技術的対策を実践した後は、不用意なクリックをして危険を招かないように気をつけましょう。今日のオンライン上には、フィッシングやソーシャルエンジニアリングを中心に多くの危険があります。ソーシャルエンジニアリングとはネットワークに侵入するために必要となるパスワードなどの重要な情報を盗み出す方法です。これらは明らかに詐欺目的のために、個人情報や機密情報を騙し取るものばかりです。スパムメール、「無料」と書かれた偽のサービスや商品、釣りタイトル、オンラインクイズなどこれらはすべて、危険なリンクをクリックさせるために誘導し、個人情報を盗むための手法です。仮にあまりにも条件が良すぎるサービスや、常識を超える範囲で多くの個人情報を求められた場合には注意してください。
5. 共有する前に考える最近ではオンラインやソーシャルメディアで個人が様々な情報を共有する機会が多いです。しかし、その中でも特に個人情報に関しては、共有する内容に注意するようにしましょう。そういった情報は、犯罪者があなたになりすましたり、パスワードやセキュリティ質問、ログイン情報を推測するために利用される可能性があるからです。
6. モバイルライフを守るモバイル機器はノートパソコンと同様に、オンライン上で危険にさらされる可能性があります。実際、タブレットや携帯電話は、危険なアプリやテキストメッセージで送られてくるリンクのような新たな危険に直面しています。クリックする際には細心の注意を払い、見知らぬ人からのメッセージは反応せずに無視してください。アプリを使用する際はまず、他のユーザーたちのレビューを読んで信頼性があるかどうかを確認し、ダウンロードする場合は必ず公式アプリストアから行ないましょう。また、すべてのデバイスでセキュリティ対策ソフトが有効になっていることを確認しましょう。
7 .安全にネットサーフィンとショッピングをするためにオンラインショッピングをする時、クレジットカードや金融情報を入力する時、オンライン銀行やその他の機密性のある取引を行なうウェブサイトにアクセスする時は、必ずウェブサイトのアドレスを確認してください。アドレスは「http」ではなく、sがついた「https」で始まり、URL欄には南京錠のアイコンが表示されているかどうか確認しましょう。これはそのウェブサイトが安全かつ、個人情報を狙う泥棒が傍受できないようにデータを暗号化しているということを示しています。また、アドレスにスペルミスや文法的な間違いがあるウェブサイトは注意しましょう。これはこのウェブサイトを訪れた人を騙して情報を盗むために正規のウェブサイトを模倣している偽のウェブサイトの可能性があります。McAfee WebAdvisorなどの安全な検索ツールを使って、危険なサイトを避けるようにしましょう。
8. 常に最新の状態を保つすべてのソフトウェアを更新して、セキュリティの欠陥を修正するプログラムであるセキュリティパッチの最新版を常に入手しておきましょう。コンピュータ、タブレット、携帯電話内のアプリやセキュリティ対策ソフトのアップデートを手動設定にしていると、ついつい更新するのを忘れがちになります。各デバイスが危険に遭わないためにも自動アップデートを有効にして、セキュリティ対策ソフトが定期的にスキャンを行うように設定しましょう。
9. 最新の詐欺には注意インターネット上にある詐欺やサイバー犯罪などの手口は常に進化し続けています。どんなことに注意しておくべきかを確認しておきましょう。現在、被害が増加傾向にあるのは「ランサムウェア」です。これはハッカーが会社のコンピュータに侵入し、ロックをかけて一時的に使用できなくさせ、多額の身代金を払わないとすべてを使えなくすると脅迫してくるという手口です。もし情報を盗まれた場合、このような大事件が起こりえるということを常に頭に入れておきましょう。
10. 警戒を高める<オンライン上での行動、閲覧するウェブサイト、SNSで共有する内容には常に細心の注意を払いましょう。包括的なセキュリティソフトを使用し、もし何かあったときのためにデータのバックアップを定期的に取るようにしましょう。また、インターネットを安全に使用するためにいくつかの基本的なルールを守るなど、前もって対策を講じることで、個人情報の盗難やマルウェアから身を守り、個人情報や財務情報を安全に保つことができるでしょう。
■関連サイト
