• GIZMODO
  • FUZE
  • DIGIDAY
  • gene
  • gene
  • cafeglobe
  • MYLOHAS
  • Glitty
  • roomie
  • machi-ya
  • GIZMODO
  • DIGIDAY
  • gene
  • cafeglobe
  • MYLOHAS
  • Glitty
  • machi-ya
  • roomie

matono  - ,,  02:00 PM

心のスキを突くハッカーを追い返して、パスワード漏えいを防ぐための基本対策

心のスキを突くハッカーを追い返して、パスワード漏えいを防ぐための基本対策

120810_SocialEngineering.jpg


先日のAppleやAmazonを利用してiCloudのアカウントを乗っ取った事件を見ても、手だれのハッカーというのは、パスワードを強固にするなどの技術的な対策をしても、かいくぐって情報を盗み取って行くのだ、ということがよくわかりました。どんなセキュリティを使おうと、最も弱いシステムはまちがいなく「人間」です

人災によるハッキングや情報漏洩、いわゆる「ソーシャルエンジニアリング」を心配するのはごもっともです。どうすれば個人情報を本当に守ることができるのでしょう。そして、このような手口にうっかり引っかかるのを避けるには、どのようにすればいいのでしょうか。

対策として、ソーシャルエンジニアリングの攻撃パターンを学習することで、自らのセキュリティを向上させることはできるはずです。一緒に、大事な個人情報を守っていきましょう。


■そもそも「ソーシャルエンジニアリング」とは?

ソーシャルエンジニアリングは、PC本体のネットワークやシステムを破るハッキングとは異なり、人為的なミスにつけ込んでパスワードなどを盗む行為のことです。その発端は、ほとんどの場合、ささいな情報に過ぎません。ハッカーの手口をいくつかご紹介しましょう。

  • ハッカーは「あなたのクレジットカードが不審な使われ方をしているので、銀行が情報の認証(クレジットカード番号、母の旧姓など)を必要としています」と、電話をかけてきます。この電話がきちんとしたものだと信用させるために、クレジットカード番号の最後の4桁の数字を教え、おそらく直近の買い物をした日付と金額(そんなものはゴミ箱をあさってレシートを見つけるだけでわかります)を言うでしょう。
  • 古典的な手口ですが、ハッカーはあなたの会社の人間やコンサルタントになりすまします(例えば、完ぺきにねつ造したIDカードで技術サポートになるなど)。もしくは、会計監査など、外部の信頼のおける人間になる場合もあります。少しでも信用されれば、誰でも会社やビルの中に入り込むことができます。
  • ハッカーは、Facebookのフレンドや、それ以外のソーシャルネットワークのつながりがある人間にもなりすまします。そして、プロフィールや最近のポストから情報を拾い集めます。
  • フィッシング詐欺や、信頼ある会社やWebサイトになりすますような詐欺は、あなたの心のスキを突くという点で、すべてソーシャルエンジニアリングになります。
  • 最近はハッカーが、ユーザー認証に最低限の情報(請求書の住所やメールアドレスなど)しか必要ないような、ゆるい会社のアカウントに入り込んでいるのも散見されます。

これでおわかりのように、ソーシャルエンジニアリングの被害は、人間の良心(ひいてはだまされやすいところ)や、ユーザー認証に必要な限られた情報が元になっています

こんなことは常識だから引っかかるわけがないと言うことなかれ。ハッカーが権威ある立場の人間や上司になりすましている時、誰しも「ノー」というのはかなり難しいのです。


■ソーシャルエンジニアリングの犠牲者にならない方法

ソーシャルエンジニアリングの犠牲者にならないために、個人ができる一番大事なことは、健全な疑いの目を持ち、常にできる限り用心深くあることです。ありがちなワナにはまることがないように気をつけるだけで、だまされることから一歩遠のきます。

誰かが「情報が必要だ」と、言ってきたら、まずはその人の身元を確認することです。確認できないうちは、電話、インターネット、あるいは人づてでも、あらゆる情報を決して外部に出さないようにしましょう。

本物のIT関連部署や金融系のサービスというのは、絶対にパスワードや機密情報を電話で聞いてきたりしないということを覚えておいてください。もし、クレジットカード会社から「あなたのカードが不正利用されていませんか?」という電話がかかってきたら、「わかりました」と言って一度電話を切り、こちらからかけ直します。その時は、電話をかけてきた相手が言った番号ではなく、クレジットカード会社の番号を調べて、そこへ電話をします。

また、印刷物はシュレッダーを使うなど、アナログな対策も肝心です。最近では、宅配ピザ屋のレシートから情報を抜き取って詐欺に使われたという、お粗末な事例もあります。

企業では、雇用者にソーシャルエンジニアリングを見分ける訓練をしたり、簡単にハッキングされないようにシステムを強固にしたりする必要があります。個人が身を守るためには、フィッシング詐欺に関する基本的な情報や、それらに対抗する手段を知ることが有効です。「Social-Engineer.org」は英語サイトですが、ソーシャルエンジニアリングの手口を知るのにいい情報がたくさん載っています。


■ソーシャルエンジニアリングの被害を最小限にとどめる方法

フィッシング詐欺やIDの乗っ取りなどから身を守ることができても、利用しているサービスが情報を漏らしたり、会社ぐるみでだまされたりした場合には、あなたに被害が及ぶこともあります。しかし、自己防衛の手段はいくつかあります。

  • 一つのサービスに大事なものをすべて預けない:1つのアカウントでさまざまなサービスを使えば使うほど、そのアカウントが被害にあった時のダメージが大きくなります。例えば、あらゆるサービスで、パスワード変更のためのアカウントを同じGmailアドレスだけにしていませんか。
  • サービスごとに異なるアカウントを使用し、パスワードを守る:「1つではなく複数のパスワードを使う」と、同じようなことです。もちろん強固なパスワードを使いましょう。
  • 認証には2つの要素を使う:ユーザー名とパスワードが漏えいしたとしても、アカウント認証を強固にしていれば被害にあいにくいです。
  • セキュリティ用の質問は独創的なものを:ウェブサイトによっては、アカウントの保護のために、オリジナルな質問の作成を促されることがあります。出身地はどこですか? など、回答が簡単に予測できるものにしていませんか? 確実に自分だけが知っている秘密の答えにすべきです。そのために、自分だけの暗号を作るのも手です。
  • クレジットカードを賢く使う:クレジットカードは、セキュリティが比較的強固であり、オンラインの支払いでは最も安全な方法です。デビッドカードを使った場合では、ハッカーがその番号にアクセスすることができると、銀行口座のすべての金額が引き出される可能性があります。PayPalのようなオンライン支払いシステムも、アカウントを乗っ取られればそれまでです。ウェブサイトにクレジットカードの番号を記憶させない、使い捨てのカードを使う、バーチャルカードを使うなどの方法で、さらにクレジットカードのセキュリティは向上します。
  • 自分のアカウントや個人情報はマメに監視する:自分のアカウントや口座やクレジットカードの明細を定期的にチェックしましょう。個人情報が盗まれたり、クレジットカード詐欺にあったりしていないかに目を光らせるのです。日本ではまだあまり見かけませんが、クレジットカードの情報を監視する無料サービスもあります。個人情報の監視に「Google アラート」を利用してもいいです。
  • 定期的にバックアップする!:これについては、もはや説明する必要もありません。

以上を踏まえて気をつけていても、利用しているサービスプロバイダがソーシャルエンジニアリングの被害にあってしまえば、自分のアカウントをハッカーの魔の手から守ることはできません。しかし、少なくとも被害を最小限に抑えることはできますし、なによりここまでやっているという安心感があります。前向きに疑う心と慎重さをもって、ネット生活を快適に楽しんでください。


Melanie Pinola(原文/訳:的野裕子)

  • ,,,,, - By

    香川博人

    LIKE

    2020年に向けて進むキャッシュレス化。 企業にとっての「電子決済」のメリットとは?

    Sponsored

    2020年に向けて進むキャッシュレス化。 企業にとっての「電子決済」のメリットとは?

    2020年に向けて進むキャッシュレス化。 企業にとっての「電子決済」のメリットとは?

    先日、政府は2017年度から公共料金や備品経費の支払いを全面的に電子決済にすることで、30億円の人件費削減が期待できるという発表をしました。 電子マネーやクレジットカード、ネットバンキングの普及により、私たちは現金だけではなく、時間と手間のかからない電子決済を活用する機会が増えていますが、それは企業や法人にとっても大きなメリットがあるようです。 そこで今回、現金決済から電子決済へとキャッシュレス  05:00 PM

MORE FROM LIFEHACKER

powered by
    
    
    
  

Kotaku

Recommended

© mediagene Inc.