セキュリティの専門家は神秘性が大好きです。略語を使い、あいまいな脆弱性を引き合いに出し、メールを守るにはPhDが必要かのように聞こえさせます。複雑さによる雇用の安定です。しかし彼らが宣伝しないこと:安全を守るために必要なことのほとんどは、恥ずかしいほどシンプルです。
IT部門はあなたをエリートの国家レベルハッカーから守っているわけではありません。あなた自身から守っているのです。パスワードの使い回し。メールのリンクをクリックすること。カフェでノートパソコンをロックせずに放置すること。侵害の大多数は技術的な傑作ではなく、基本をやらなかった人への機会犯罪です。
神秘のベールを剥がしましょう。本当に知っておくべきことすべてを、専門用語なしで、今日実践できる具体的なステップとともにお伝えします。
「ハッキング」についての汚い秘密
大規模な侵害が起きるたび、ニュースはデジタル忍者が難攻不落の防御を突破したかのように報道します。通常、現実はもっと間抜けです。誰かが「Password123」を使い、そのパスワードはすでに3年前に漏洩していた。誰かが「ITサポート」からのメールのリンクをクリックしたが、実際は「[email protected]」からだった。誰かのスマートドアベルがデフォルトパスワード「admin」のままで、仕事用ノートパソコンと同じネットワークに接続されていた。
Verizon Data Breach Investigations Reportは一貫して、ハッキング関連の侵害の約80%が盗まれたまたは弱い資格情報に関連していると示しています。ゼロデイエクスプロイトではありません。高度なマルウェアでもありません。パスワードです。
Password123は賢くありません。P@ssw0rd123もそうです。創造的になる前に:qwerty、123456、そして愛犬の名前プラス生年は、攻撃者が最初にチェックするリストに載っています。
これは実は良いニュースです。保護を劇的に改善するのに、高価なセキュリティツールやコンピュータサイエンスの学位は必要ないということです。愚かなことをやめればいいのです。
あなたのパスワードシステムは壊れている(でも修正可能)
部屋の中の象に触れましょう。おそらくパスワードの「システム」を持っているでしょう。基本パスワードにバリエーションをつけるもの、例えばメールに「BasePassword1!」、銀行に「BasePassword2!」のように。あるいは本当に良いパスワードを1つ覚えて、どこでも使っているかもしれません。どちらのアプローチもひどいです。
理由はこうです。企業が侵害を受けると(受けます。「もし」ではなく「いつ」の問題ですから)、あなたのパスワードはダークウェブで売られるデータベースに入ります。攻撃者はそのパスワードを他のすべてのサービスで試します。「本当に良いパスワード」がランダムなフォーラムアカウントと銀行の両方を守っているなら、おめでとう、フォーラムの悪いセキュリティがあなたの銀行を侵害しました。
実際の解決策:パスワードマネージャー
パスワードマネージャーはすべてのアカウントにユニークでランダムなパスワードを生成し、あなたの代わりに記憶します。マスターパスワードを1つだけ覚えればいいのです(長いパスフレーズにしましょう。「correct horse battery staple」は有名な話として「Tr0ub4dor&3」より安全です)。
おすすめのパスワードマネージャー
- 1Password: 最高の総合体験、優秀なファミリープラン
- Bitwarden: オープンソース、無料ティアあり、優秀なセキュリティ
- Apple Keychain: iPhone/Macにすでに搭載、ほとんどの人に十分
「でもパスワードマネージャーがハッキングされたら?」良い質問です。パスワードはデバイスから出る前にマスターパスワードで暗号化されます。攻撃者が暗号化されたボールトを盗んでも、マスターパスワードなしでは読めません。これはサイト間でパスワードを使い回すより無限に安全です。
すでに侵害されていないか確認する
今すぐhaveibeenpwned.comにアクセスしてください。メールアドレスを入力します。セキュリティ研究者Troy Huntが運営するこのサイトは、あなたのメールが既知のデータ侵害に含まれているか確認します。含まれていれば(ほとんどの人は含まれています)、すぐに変更すべきパスワードがわかります。
ブラウザがあなたの情報を漏らしている
不審なリンクをクリックしなくても、ブラウザは常にウェブサイトにあなたが気づいている以上の情報を伝えています。何が起きているか、そして実際にできることについて話しましょう。
ブラウザフィンガープリンティング
Cookieばかりが注目されますが、追跡の唯一の方法ではありません。ブラウザフィンガープリンティングはシステムの詳細(画面解像度、インストールされたフォント、ブラウザプラグイン、タイムゾーン、言語設定)を収集し、それらを組み合わせてユニークな識別子を作ります。Cookieがなくても、ウェブサイトは90%以上の精度であなたを特定できることが多いです。
完璧な修正ではありませんが、強化トラッキング防止機能付きのFirefox、またはデフォルトでフィンガープリンティングをブロックするBraveブラウザを使うと、大幅に軽減されます。Chromeはプライバシーに関して最悪です。Googleは広告で稼いでいるので、ブラウザはトラッキングを防ぐのではなく、促進するように設計されています。
ISPはすべてを見ている
訪問するすべてのウェブサイトはDNSリクエストから始まります。コンピュータが「google.comのIPアドレスは?」と尋ねるのです。デフォルトでは、これらのリクエストはISPに送られ、つまり訪問したすべてのサイトのログを持っています。彼らはこのデータを売ることができます(そして売っています)。
DNS over HTTPSを有効にする
これによりDNSリクエストが暗号化され、ISPがスヌーピングできなくなります。2分で完了:
- Firefox: 設定 → プライバシーとセキュリティ → DNS over HTTPSを有効にする → Cloudflareを選択
- Chrome: 設定 → プライバシーとセキュリティ → セキュリティ → セキュアDNSを使用 → プロバイダーを選択
- システム全体: ルーターのDNSを1.1.1.1(Cloudflare)または9.9.9.9(Quad9)に変更
拡張機能はおそらくスパイウェア
あのクーポン検索拡張機能?訪問するすべてのページを読んでいます。あの「便利な」ツールバー?同じです。ブラウザ拡張機能はブラウジングデータへの膨大なアクセスを持ち、無料拡張機能のビジネスモデルはそのデータの売却であることが多いです。
今すぐブラウザの拡張機能ページを開いてください。各拡張機能について問いかけましょう:実際に使っているか?作った会社を信頼しているか?必要ないものはすべて削除しましょう。残すものについては、権限を確認し、過剰に見えるものを無効にしましょう。
シークレットモードはあなたが思っているものではない
シークレットモードはブラウジングをパートナーからは隠しますが、Googleからは隠しません。
プライベートブラウジングモードは匿名にはしません。ローカルに履歴を保存しないだけです。ISP、雇用主(ネットワーク上にいる場合)、訪問するウェブサイトはすべてまだすべてを見えます。共有コンピュータでアカウントにログインしたり、サプライズギフトを購入するには便利ですが、実際のプライバシーには使えません。
VPNの問題
VPNは特定の状況で役立ちます。公共WiFi、別の国にいるように見せたい場合、またはISPを信頼していない場合。しかし魔法のプライバシーシールドではありません。VPNを使うことは、ISPの代わりにVPN会社を信頼することを意味します。多くの「無料」VPNはVPNなしより悪いです。データを収集して販売するために存在しているからです。
VPNが欲しいなら、信頼性のあるものに課金しましょう(Mullvad、ProtonVPN、IVPNが良い選択肢)。しかし透明人間になれるとは思わないでください。ブラウザフィンガープリント、ログインパターン、行動がまだあなたを特定します。
スマートフォンは知りすぎている
スマートフォンはかつて作られた中で最も親密な監視デバイスです。どこで寝ているか、誰と話しているか、何を買っているか、一日中どこに行っているか知っています。プライバシーを取り戻す方法はこちらです。
アプリの権限が制御不能
なぜ懐中電灯アプリが連絡先へのアクセスを必要とするのでしょうか?なぜ電卓が位置情報を必要とするのでしょうか?これらの権限はデータが価値あるものだから存在し、ほとんどの人は考えずに「許可」をタップします。
権限監査(5分)
- iPhone: 設定 → プライバシーとセキュリティ → 各カテゴリを確認
- Android: 設定 → プライバシー → 権限マネージャー → 各タイプを確認
- 位置情報:ほとんどのアプリは「なし」または「使用中のみ」にすべき。「常に許可」が必要なものはごくわずか。
- カメラ/マイク:アプリが明らかに必要としない限り拒否
広告トラッキングをオフにする
iOSとAndroidの両方に、アプリが広告目的であなたを追跡する量を制限する設定があります。銀の弾丸ではありませんが、役に立ちます。
iPhone: 設定 → プライバシーとセキュリティ → トラッキング → 「Appからのトラッキング要求を許可」をオフ
Android: 設定 → プライバシー → 広告 → 広告IDの削除(またはパーソナライゼーションのオプトアウト)
位置履歴を確認する
ゾッとしますよ。GoogleとAppleは何年もあなたの位置を記録しています。見てみましょう:
Google: timeline.google.comにアクセス。AndroidスマートフォンまたはGoogle にサインイン中に行ったすべての場所が表示されます。
Apple: 設定 → プライバシーとセキュリティ → 位置情報サービス → システムサービス → 利用頻度の高い場所。アクセスは難しいですが、同様に詳細です。
履歴を削除し、将来のトラッキングをオフにできます。すべきかどうかはあなた次第です。駐車場所や気に入ったレストランを覚えるのにタイムラインが役立つ人もいます。しかし少なくとも存在を知っておきましょう。
メール:いまだ最も弱いリンク
ほとんどのアカウント乗っ取りはメールから始まります。誰かのメールを制御すれば、他のすべてのパスワードをリセットできます。フィッシングは恥ずかしいほど効果的です。技術的な脆弱性ではなく、人間の心理を悪用するからです。
フィッシングを実際に見分ける方法
「ナイジェリアの王子」メールは明白です。現代のフィッシングはそうではありません。銀行からのメールにそっくりな、ロゴと適切なフォーマットを備えたメールが届きます。確認すべきことは:
- 送信者アドレス: 「[email protected]」は「[email protected]」や「[email protected]」とは異なります
- リンクにホバー: クリック前にホバーして実際のURLを確認。期待通りでなければクリックしない
- 緊急性はレッドフラグ: 「24時間以内にアカウントが閉鎖されます!」はパニックにさせて確認をスキップさせるためのもの
- 疑わしい場合は直接アクセス: メールのリンクをクリックしない。新しいブラウザタブを開いてサイトに直接行く
メールエイリアス:受信箱を区分化する
異なる目的に異なるメールアドレスを使いましょう。銀行のメールが、ランダムなニュースレターの登録に使うメールと同じであるべきではありません。サービスが侵害されたとき、どのメールが侵害されたかが正確にわかり、重要なアカウントには影響しません。
メールエイリアスサービス
- SimpleLogin: 実際のメールに転送される無制限のエイリアスを作成
- Firefox Relay: Mozillaのバージョン、Firefoxと統合
- Apple Hide My Email: iCloud+に内蔵、Appleデバイスでシームレスに動作
- プラスアドレス指定: Gmailでは@の前に「+anything」を追加可能。[email protected]は通常の受信箱に届く
機密通信には:暗号化メール
通常のメールははがきのようなものです。扱う人は誰でも読めます。本当に機密性の高い通信には、Proton Mailを検討しましょう。エンドツーエンド暗号化で、スイス拠点(強力なプライバシー法)、十分使える無料ティアがあります。
ソーシャルエンジニアリング:アカウントを盗む口説きDM
十分に語られないものを紹介します。Instagram、Snapchat、TinderのDMに入ってくるかわいい見知らぬ人?インターネットより古い手口を実行しているかもしれません。
人がフリリングで聞く「仲良くなるための」質問を考えてみてください:
- 「ペットの名前は?動物大好き!」
- 「どこで育ったの?」
- 「最初の車は何だった?いい話がありそう。」
- 「育った通りの名前は?」
- 「お母さんの旧姓は?私のはすごく変なの。」
- 「どの高校に通ったの?」
次に、銀行、メール、SNSアカウントのパスワード復旧用セキュリティ質問を見てください。何か気づきましたか?
あの口説き質問はまさにセキュリティ質問の答えです。あなたを「知ろうとしている」人は、デジタルライフへの鍵を収穫しているのです。
これはパラノイアではありません。文書化されたソーシャルエンジニアリング手法です。詐欺師は偽のプロフィールを作り、数日から数週間かけて信頼関係を築き、パスワードリセットに必要なすべての情報を何気なく引き出します。あなたがゴースト(音信不通)にされる頃には、すでに自分のアカウントからロックアウトされています。
身を守る方法
- セキュリティ質問には嘘をつく。 お母さんの旧姓は実際の旧姓である必要はありません。ランダムなものを選んでパスワードマネージャーに保存しましょう。「最初のペットは?」答え:「TurboLaser3000」。推測してみてください。
- 急激な親密さに警戒する。 本当のつながりには時間がかかります。最初の数回の会話で多くの個人的な質問、特に具体的な質問をする人は、名乗っている人ではないかもしれません。
- 画像逆検索をする。 プロフィール写真を右クリックして、Google画像検索。その顔がストック写真サイトに出てきたり、別の人のものなら、答えは出ています。
- 共有する前にビデオ通話。 詐欺師はビデオを避けます。ビデオチャットできない言い訳が尽きない人は、レッドフラグです。
ロマンス詐欺のパイプライン
「仲良くなるための」質問から始まります。次に小さなお願い:ギフトカード、暗号通貨、緊急時のお金。個人情報の収集と金銭詐欺はしばしば同時進行します。直接会ったことのない人にセキュリティの答えを共有したなら、今すぐそれらの答えを変更してください。
自宅のネットワーク(はい、本当に)
ルーターのパスワードがまだ「admin」なら、おめでとうございます。ネットワークに参加したい人への歓迎マットを敷いています。ほとんどの人はルーターを一度設定したら二度と考えません。これは間違いです。
デフォルトパスワードを変更する
すべてのルーターにはデフォルトのユーザー名とパスワードが付属しています(多くの場合「admin/admin」または「admin/password」)。これらのデフォルトはオンラインで公開されています。WiFiに接続できる人は誰でもルーターの管理パネルにアクセスし、やりたい放題できます。トラフィックのリダイレクト、デバイスのスパイ、接続の違法利用など。
ルーターにログインし(通常ブラウザで192.168.1.1または192.168.0.1)、管理パスワードとWiFiパスワードの両方を強力なものに変更してください。
ルーターのファームウェアを更新する
誰もこれをしません。ルーターはソフトウェアを実行するコンピュータであり、そのソフトウェアにはバグがあります。メーカーはセキュリティの脆弱性を修正するアップデートをリリースしています。ルーターの管理パネルでファームウェアアップデートオプションを確認し、実行してください。
IoTデバイス用のゲストネットワークを作る
スマートTV、スマートドアベル、スマート冷蔵庫はすべて攻撃者の潜在的な侵入口です。これらのデバイスはしばしばセキュリティがひどく、アップデートもめったにされません。別のゲストネットワークに接続し、侵害されても攻撃者がノートパソコンやスマートフォンに簡単にジャンプできないようにしましょう。
ほとんどの最新ルーターには「ゲストネットワーク」オプションがあります。有効にし、別のパスワードを設定し、すべてのスマートホームデバイスをそこに接続しましょう。
正しいマインドセット
完璧なセキュリティは存在しません。目標はハッキング不可能になることではなく、最も簡単なターゲットにならないことです。攻撃者は泥棒と同じく、楽な獲物を狙います。あなたの家のドアが施錠されていて、隣人の家が大開きなら、どちらが強盗されるでしょうか?
侵害を前提とする
データを渡す企業はすべていずれ侵害されます。それに備えましょう。ユニークなパスワードを使い、1つの侵害が連鎖しないようにする。オンラインショッピングにはデビットカードではなくクレジットカード(不正利用保護あり)を使う。可能な限り機密情報をクラウドサービスから遠ざける。
区分化する
銀行とフォーラムアカウントに同じメールを使わない。「便利さ」のためにすべてのアカウントをリンクしない。作る接続一つ一つが、攻撃者がアカウント間を移動する潜在的な経路になります。
クレジットを凍結する(米国)
これはアメリカ人に特化していますが、できる最も効果的なことの一つです。クレジット凍結は、誰もあなたの名前で新しいアカウントを開けなくします。無料で、3つの信用機関(Equifax、Experian、TransUnion)すべてに設定するのに15分かかり、クレジットを申請する必要があるときに一時的に解凍できます。
定期的な監査
四半期ごとにアカウントを見直すリマインダーを設定しましょう。どのサービスをまだ使っていますか?どれがデータにアクセスできますか?どれを削除できますか?攻撃面が少ないほど安全です。
まとめ
どれも複雑ではありません。パスワードマネージャーを使う。二要素認証を有効にする(さらに進みたいならハードウェアセキュリティキーについて書いています)。メールのリンクをクリックしない。ソフトウェアを更新する。権限を確認する。
これらの基本で、オンラインの人の90%より先に行けます。残りの10%のリスク軽減には指数関数的に多くの努力が必要で、ほとんどの人にとっては基本で十分以上です。
セキュリティは購入する製品でも、一度きりのセットアップでもありません。習慣です。しかし習慣は難しくありません。ただ実際にやる必要があるだけです。
IT部門は魔法使いではありません。あなたより速くググっているだけです。これで彼らが知っていることを知りました。活用しましょう。
