友人から相談のメールが届きました。彼女は、近々公開される作品のせいで不当な嫌がらせを受けるかもしれないと感じており、誰かが彼女の防御を突破する前に、オンライン上の個人情報に関するあらゆる情報を安全に守るにはどうしたらよいか悩んでいました。
多くの人は、ハードドライブのクラッシュによるデータ全損やアカウント乗っ取りなど、悪い出来事が起きるまで行動を起こさない、受け身の人間です。彼女が事前にこのことを考えていたのは素晴らしいことです。私が彼女に提供したアドバイスは、同じような状況に陥った人、あるいはセキュリティ対策を講じたいと考えている人すべてにとって役立つでしょう。
チューンアップ
MacやiOSのユーザーは、自分のデバイスのセキュリティについて少々自信過剰になりがちです(私もそうかもしれません)。しかし、Appleのアーキテクチャのせいで、iOSでできることはほとんどなく、OS Xでも役立つことはほとんどないのです。
主に、以下の良い習慣が役立ちます。見覚えのないメールは開かないでください。もし開いてしまっても、リンクをクリックしたり添付ファイルを開いたりしないでください。怪しげなウェブサイトのリンクはクリックしないでください。iOSやOS Xで、自分で探したわけでもないのにカスタムプロファイルをインストールするよう促すメッセージは受信しないでください。軽信することで多少の時間は無駄になるかもしれませんが、明らかな問題を回避できます。
昨年AppleのOSに影響を与えた脆弱性は、一般的に、悪用されるのを避ける術がなかったほどでした。これは気が滅入る話に聞こえますが、そのほとんどが未知のベクトルを持っていたため、実際に実装するのが困難でした。しかも、どれも「野放し」で発見されたり、急速に拡散するような形で発見されたりすることはありませんでした。
しかし、OS Xでは、コンピュータと何が通信しているか、どのサービスにアクセスしているかを監視するソフトウェアをインストールできます。私は、IntegoのInternet Security X8パッケージに含まれる、現在のNetBarrier X8の旧バージョンと、Objective DevelopmentのLittle Snitchを使用しました。マルウェア対策ソフトウェアに実質的な価値を見出せませんが、システムとソフトウェアが何をしているかを知ることは安心感を与えてくれます。
Little Snitch を使用すると、どのアプリがインターネットにアクセスしようとしているのか、またその理由を知らせてくれます。
これは、よく知らない信頼できないネットワーク上にいるときにも役立ち、周囲のネットワークから発生する動作の種類を確認できるほか、悪意のある活動を行っている人物を見つけた場合に、カフェのオーナーや店長に警告することもできます。
さらに、自宅ネットワーク上での特定のアクティビティなど、自分の快適ゾーンから外れた時に仮想プライベートネットワーク(VPN)を使用すると、ローカルWi-Fiやイーサネットネットワーク、そしてそこからVPN接続のもう一方の端(どこかのデータセンター)までの間の地点でデータを傍受できるあらゆる人から、インターネットトラフィックを効果的に遮断できます。CloakとTunnelBearはどちらもテスト済みで、どちらも1つのアカウントでデータ通信量を制限または無制限にし、マルチプラットフォーム対応など、様々なパッケージとコンボを提供していますので、お勧めです。
これによって侵入が不可能になることは保証されませんが、弱点が減るので、それは常に良いことです。
可能な限り、2要素認証(2FA)またはトークンベースのログインを有効にしてください。これまで何度も書いてきたように、ほとんどのクラウドベースおよびソーシャルネットワーキングサービスは、現在、何らかの形で2要素認証を提供しています。私はAuthyを使って、Google、Slack、Amazonなどのサービスが提供するタイムベースワンタイムパスワード(TOTP)を管理しています。一部のサービスでは、SMSのみ、またはオプションでSMSを利用できるようになっています。昨年秋にアップグレードされたAppleの2FAは、同じApple IDに登録されているiOSまたはOS Xデバイスに情報を送信し、SMSまたは音声通話をフォールバックとして利用する仕組みになっています。(Apple IDを2FAに対応させようと何ヶ月も試行錯誤した結果、ようやく古い2段階認証を無効にして2FAを有効にすることができました。)
2要素認証は、パスワードを入手または推測した人が世界中のどこからでもそのパスワードを使用してアカウントにログインするのを防ぎます。新しいデバイスが追加されたりログインが発生したりした際に警告するログインアラートがサービスで提供されている場合は、それも有効にしてください。
2FA以外に利用しているすべてのソーシャルネットワーキング、メール、金融機関などのサービスを確認し、プライバシーオプションを検討してください。一部のネットワークでは、あなたに関する情報を持つ人が、あなたに関連する公開リストがなくても、より詳しい情報を入手したり、メールアドレスで検索したりできる場合があります。また、友人の友人にあなたの電話番号や住所を入手させてしまう可能性もあります。その場合は、データを削除するか、さらに制限することを検討してください。
現在、Facebook を含め、ほとんどのソーシャル ネットワークは 2 要素認証をサポートしています。
使用しているすべてのサービスのパスワードを一括変更することをお勧めします。面倒ではありますが、最後にパスワードを変更したのがいつだったか思い出せない場合や、複数のサイトで同じパスワードを使用している場合は、変更するタイミングが来ています。パスワード管理・同期システム(私は1Passwordを使用しています)をお勧めします。強力で固有のパスワードを作成し、どのプラットフォームを使用していても必要なときにいつでもアクセスできます。(1Passwordの開発元であるAgileBitsは、家族向けとビジネス向けの共有オプションを提供しており、複数の人がパスワードを共有できます。配偶者や両親、子供も同じパスワードにアクセスする必要がある家庭に最適です。)
多くのハッキングは、脆弱なリンクから始まります。多くの場合、それは別のサービスでバックアップアドレスとして設定されていたり、まだ使用中のメールアドレスです。より重要なサービスに侵入するために、クラッカーはこれらの脆弱なリンクを突いてメールアドレスに侵入し、パスワードリセットなどの方法でメールアクセスをナイフのように使ってサービスのカキを割ろうとします。そのため、すべてのアカウントに関連付けられているバックアップ/代替メールアドレスもすべて再確認してください。
最後に、これらは必ずしもコンピュータ関連ではありませんが、携帯電話会社と(もし契約しているなら)地元の固定電話会社に問い合わせることをお勧めします。電話アカウントには通常、ロックをかけたり、追加の保護をかけたりすることができます。電話アカウントは、ソーシャルエンジニアリングやオンラインアカウント管理を悪用する攻撃者にとって格好の標的となり、電話番号、テキストメッセージ、その他のサービスを別の場所に移転させようとする攻撃者にとって格好の標的となることが多く、なりすまし、個人情報へのアクセス、SMSの2要素認証の傍受といった犯罪に利用される可能性があります。
同様の観点から、三大信用調査機関の信用報告書を確認し、直系家族全員の信用調査と発行を凍結することを検討してください。あなたの名前でカードを作るなど、信用を毀損する手口は、嫌がらせをする人たちの常套手段です。また、信用監視サービスの評価も調べてみましょう。私はオンラインアカウントの不正利用後、あるサービスに無料でアクセスし、信用報告書上のすべての(今のところ正当な)アクティビティを確実に把握できました。
こういったことを心配するのは楽しいことではありませんが、現代社会の現実でもあります。政治団体、犯罪団体、あるいは社会集団の標的になるかもしれないと不安なら、備えを怠らなければ悲痛な思いをすることはないはずです。
