もしMacworldが突然、私たちのTwitterアカウントに予期せぬメッセージを投稿してきたら、例えば「@lexfriがBlackberry PlayBookはiPadよりずっと優れていると言っています!」といった具合に、何かがおかしいと疑うでしょう。しかし、NBC Newsのような組織が、9月11日の数日前にグラウンド・ゼロが攻撃を受けていると主張するような、衝撃的な見出しを誤ってツイートするとなると、はるかに厄介です。
NBCは当時、Twitterアカウントがハッキングされたと発表しました。一般的に、Twitterアカウントがハッキングされ、迷惑ツイートやスパム的なダイレクトメッセージを送信し始めた場合、問題のTwitterパスワードが侵害されている可能性があります。NBCと同様に、あなたも簡単な手順に従うことで、ご自身のTwitterアカウントの安全を確保できます。
1. 強力で固有のパスワードを使用する
このアドバイスは何度も耳にしたことがあると思いますが、強力で安全なパスワードを作成(そして記憶!)するのは、思ったほど難しくも面倒でもありません。私がおすすめする方法は、覚えやすい複数の単語を組み合わせたフレーズをベースにした、より長いパスワードを使うことです。例えば、お気に入りの歌詞などを選んでみてくださいWake me up before you go-go。
そして、Whamの歌詞をそのままウェブ上のパスワードとして使うのではなく、アクセスするサイトに合わせてカスタマイズしたバリエーションを使いましょう。独自のパターンを作ることもできます。例えば、サイト名の最初の3文字をパスワードのプレフィックスとして使うのが一つの方法です。例えば、Twitterでは「 」、twi Wake me up before you go-goMacworldでは「 」を使うでしょうmac Wake me up before you go-go。
このようなパスワードには、大文字と小文字、句読点(ここではハイフンを使用しましたが、ピリオドや感嘆符も使用できます)、そして数字も含めることができます(例:Wake me up before you g0-g0)。また、パスワードにスペースを使用することは全く問題ありません。パスワードの文字数制限が(不用意に)あるサイトでは、ベースパスワードのバリエーションを使用できます。もしExample.comがそのような制限を設けているなら、exa Wmubyg0-g0そこでパスワードとして を使用するのも良いでしょう。
各サイトで、覚えやすく解読しにくいパスワードをカスタマイズすることで、安全性を大幅に高めることができます。どれくらい安全になるでしょうか?キーチェーンアクセス(アプリケーション/ユーティリティ内)を起動し、「ファイル」→「新規パスワード項目」を選択します。上部の2つのフィールドは無視して、「パスワード」フィールドに新しいパスワードを入力してください。キーチェーンアクセスは、入力するたびにパスワードの安全性の指標を更新します。wmubygg「弱い」wmubyg0g0「普通」wmubyg0-go「少し良い」「Wake me up before you g0-g0非常に良い」といった指標が表示されます。
2. パスワードを入力する場所を把握する
現在発生しているダイレクトメッセージスパムの事例では、友達があなたに関する面白い話へのリンクを送っているように見せかけます。私が親しい友人から受け取ったダイレクトメッセージが偽物だと気づいたのは、メッセージの最後に「lol」が付いていたからです。これは私の友人の性格とは全くかけ離れていました。ダイレクトメッセージスパムに含まれていたリンクは、Twitterのログインページとピクセル単位で全く同じページへのリンクでした。
もちろん、これはTwitterのものではありません。フィッシングページは似たようなURL(例:itwitier.com)でホストされており、そこにユーザー名とパスワードを入力すると盗まれます。友達からのリンクをクリックし、そのリンクがログインを促してきたら、頭の中で警鐘が鳴り始めるはずです。パスワードを求めるURLを3回確認し、友達が意図的にリンクを送信したことを確認してください。どんなに安全なパスワードでも、偽のフォームに入力するだけで、悪意のある人物に簡単に盗まれてしまいます。
3. TwitterのHTTPSオプションを使用する
ほとんどのWebトラフィックはHTTPプロトコルを使用しており、HTTPはコンピュータとWebサーバーの間でデータを暗号化せずに送受信します。例えば、天気予報を取得するために郵便番号を入力する場合、これは大きな問題ではありません。しかし、送信するデータにログイン認証情報が含まれている場合は、はるかに大きな問題となります。悪意のある攻撃者がWebトラフィックを「スニッフィング」し、送信時にユーザー名とパスワードを暗号化されていない状態で文字通り確認するのは容易だからです。信頼できる安全なネットワークに接続している場合は、それほど心配する必要はありません。しかし、公共のWi-Fiネットワークを使用している場合は、そのネットワークを共有している他のユーザーが、理論上、暗号化されていないWebトラフィックをすべてスヌーピングする可能性があります。Webサーフィンをする人は注意が必要です。
ここでHTTPSの出番です。HTTPSは、信頼できるWebサーバーに返すデータを暗号化します。TwitterはHTTPSオプションを提供していますが、アカウントで有効になっていることを確認する必要があります。Twitterのウェブサイトにログインし、右上のユーザー名をクリックして「設定」を選択します。アカウントタブの下部にある「常にHTTPSを使用する」にチェックが入っていることを確認し、「保存」をクリックします。
これらの基本的なセキュリティ対策はTwitter以外にも役立つことを覚えておくと良いでしょう。FacebookもHTTPSオプションを提供しており、パスワードに関するベストプラクティスは同じです。一般的に、アカウントを安全に保つ最善の方法は、強力で固有のパスワードを作成し、それを保護することです。
