セキュリティ上の問題はあらゆるところに存在します。ハッキングに弱いルーターから、データを流出させるアプリケーションまで。幸いなことに、簡単に自衛はできますので、方法を紹介しましょう。
セキュリティに関するすべてのニュースに目を通してでもいない限り、どんな脆弱性が悪用されているのか完全に知ることはできません。誰のパソコンでも、攻撃に対して弱い部分がどこかにあります。パソコンを買ったままで一度も設定をいじったことがない人は、そろそろ見直してみた方がいいかもしれません。
この記事で紹介しているセキュリティホールのことはもう知っていて、ちゃんと対策も立てているって? 素晴らしい! では、知らない友人にこの記事を教えて、自分を守れるようにしてあげてください。UPnPは外部からのアクセスを許す
UPnP(Universal Plug and Play)というのは、ルーターやプリンタ、メディアプレイヤーといったデバイスをネットワーク上で簡単に検出できるようにするためのプロトコルですが、セキュリティホールの存在が前々から指摘されていました。米政府はUPnPを無効にするようあらためて勧告を出しています。最新の調査によると、インターネットからのディスカバリーリクエストに応答したネットワーク対応機器は4000万~8000万台もあり、ウェブカメラやプリンタ、パスワードなどにアクセスする攻撃に対して無防備だそうです。つまり、このバグがあるルーターやデバイスは、たとえマルウェアに感染していなくても、インターネット経由でアクセスして離れた場所からシステムを操作できるというわけです。
幸い、これによって影響を受けるハードウェアは旧式のものが大部分。思ったほど問題が大きくは広がらなさそうです。それでも、たいていのデバイスでは、設定でUPnPを無効にできます(方法については各デバイスのマニュアルを参照してください)。UPnPの設定は、ネットワーク上のメディアをストリーム再生したり(英文)、ネットワークにつながったプリンタから印刷したりするような機能とはまったく関係がありません。ルーターレベルでUPnPを無効にしても、インターネット経由でデバイスを制御できなくなるだけです。たいていの人にとって、この機能は必要ありません。
ルーターレベルでUPnPを無効にするには、管理者ページを開きます(英文)。ハードウェアをチェックしたければ、セキュリティ情報サイト「Rapid7」がネットワーク上のデバイスをスキャンするツールを提供しています。
リスクの大きさについて言えば、この問題は対応が簡単で、現時点で影響を受けそうな人も多くありません。けれども残る4つは、これに比べるとなかなかの強敵です。
ルーターのWEP/WPAパスワードは簡単に破れるあなたのルーターのパスワードには、たぶんWPA(Wi-Fi Protected Access)かWEP(Wired Equivalent Privacy)のどちらかが使われていると思います。残念なことに、Wi-FiネットワークのWAPパスワードとWPAパスワードを破るのはとても簡単です(共に英文リンク)。
これらのパスワードに存在する脆弱性は、それぞれ理屈が異なります。WEPの場合、自動化された暗号解読プログラム(と膨大な時間)があれば簡単にパスワードが破れますし、WPAの場合は、一部のルーターで採用されているWPS(Wi-Fi Protected Setup)の脆弱性が問題となります。これはWPSを無効にすることで対応できます。WPSを無効にできないのなら、『DD-WRT』か『Tomato』をインストールしてみましょう。DD-WRTを使えばホームネットワークのセキュリティが一段と高まるはずです。
HTTPSを使わずにネットを使うと情報をのぞき見されるHTTP Secureは、オンラインで送信するあらゆる重要な情報を保護するために使うプロトコルです。例えば、銀行口座へのログインやソーシャルネットワークに関する情報がそうです。保護が必要なほぼすべての情報が対象となります。ホームネットワークでは、もっと重要なのは公衆Wi-Fiスポットでも常に使うことです。ホテルや空港、図書館といった場所には、あなたのパスワードを盗み取ろうとしている人間がたぶんいるはずです。公衆Wi-Fiスポットを利用する場合、最善の解決策はVPN(仮想プライベートネットワーク)を使ってトラフィックの安全性を確保することです(英文)。
全てのアプリケーション、ソフトウェア、ウェブサイトでデータ漏えいの可能性はあるよくあることですが、ハッカーが脆弱性の悪用方法を発見した途端に、お気に入りのソフトウェアやウェブサイトが、あなたのパスワードを盗み取ろうとする人物に対して無防備になってしまいます。そのせいで、システム全体のセキュリティが低下するかもしれません。パスワードが盗まれたり、名前や住所といった個人データが流出したりする可能性もあります。Javaではこういう事態がしょっちゅう起こっていますが、Mega、Google Wallet、Apple、Skype、Path、Zappos、LinkedIn、Facebookなどでも起こっており、誰の身に降りかかっても不思議ではありません。
まずは、OSもモバイル版も含め、ソフトウェアを最新版にしておきましょう。データの流出があると、普通は誰かが気づいて、ソフトウェアの修正パッチがすぐに提供されます。
完璧な対処法とはいえませんが、セキュリティホールがサービスやソフトウェア側に存在する以上、他に打てる手はありません。それでも、可能な場合はGmailなどにもある2段階認証プロセスを有効にし、サイトごとに異なるパスワードを使い、『LastPass』のようなパスワード管理ツールを使って、データが流出しても他のサービスにログインするための情報が分からないようにしておく、といった対策を必ずとってください。
強力なパスワードを使っていても安心できない結局のところ、よくできたパスワードにも限界があります。悪意あるハッカーが(強力なパスワードのような)技術的な防壁を迂回して、ほかの人をだますことで望みの情報を手に入れる「ソーシャルエンジニアリング」を使ったクラッキングがありえるのです。この場合、「真の意味の」ハッキングは必要ありません。昨年、Mat Honan氏の情報がAppleとAmazonから流出し、同氏が破滅的な被害を受けた事件はまさにそういったケースです。
要するに、大きな見方をすれば、人間こそが最大のセキュリティホールなのです。悪意あるハッカーたちは、心理的なトリックを使ってあなたの情報を手に入れます。そういう連中は、カスタマーサポートの担当者と話をするときに、重要人物のふりをしたり、Facebookの友人を装ったりするかもしれません。あるいは、あなた自身になりすますことすらありえます。ほんの少しの情報があれば、あなたのアカウントにアクセスできます。そして、そのアカウントで使われているパスワードがその他のアカウントでも使われていたら、悪意あるハッカーはそのすべてにアクセスできてしまうのです。
大事なのは、ひとつのカゴに卵を全部入れてしまわないことです。そうすれば、あるサイトにアクセスするためのパスワードが誰かの手に渡ったとしても、被害は少なくとどめられます。ですから、必ずサイトごとに異なるパスワードを使い、2段階認証プロセスを利用してください。セキュリティ用の秘密の質問は独創的なものにしておきましょう。アカウントの監視もお忘れなく。
こういったセキュリティホールをふさぐ作業は、確かに楽しい午後の過ごし方とはいえません。けれども、ある朝、目を覚ましたら誰かに自分のIDを盗まれていた...そんな事態に比べればずっとマシです。とても簡単な作業ですし、一度だけやっておけばいいのです。
Thorin Klosowski(原文/訳:吉武稔夫、合原弘子/ガリレオ)