ライターとしてインターンをしている渡邉です。誰しも一度は「インターネットは危険がいっぱい」という言葉を聞いたことがあるでしょう。しかし、どこか他人事のように感じている人は少なくないはず。
インターネットが身近になってしまった現在、私たちにはサイバーセキュリティの復習が求められています。あなたは、セキュリティリテラシーに自信はあるでしょうか。意外と知らない事実があるかもしれません。
この記事では、一田和樹著『サイバーセキュリティ読本【完全版】』をもとに、ネット社会で役立つサバイバル術を解説します。
出典:「サイバーセキュリティ読本【完全版】 ネットで破滅しないためのサバイバルガイド」(星海社)
サイバーウェーブでは「スキルアップ支援制度」として、社員が自己研鑽のための書籍購入を補助する制度があります。『サイバーセキュリティ読本【完全版】』はこの制度を利用して手にしました。
マルウェアを完全に防ぐことはできない
マルウェアとは、ユーザーに不利益を与えることを目的に開発されたソフトの総称です。世の中には、ユーザーをマルウェアから守るアンチウイルスソフトが数多く存在します。「アンチウイルスソフトをインストールすれば安心!」というユーザーは多いでしょう。
しかし、マルウェアを防ぐことは原理的に不可能です。アンチウイルスソフトは、いわばワクチンのようなもの。アンチウイルスソフト(ワクチン)がマルウェア(ウイルス)を認知しない限り、抗体は得られません。
マルウェアが出回ってから対策されるまでには、タイムラグが存在します。対策されるまでの空白期間を狙った攻撃が「ゼロデイ攻撃」です。アンチウイルスソフトに数多くの抜け穴が存在していることは否定できません。
抜け穴が存在しているのなら、アンチウイルスソフトはまったく役に立たないのでしょうか。アンチウイルスソフトの役割は、信号機やガードレールに近いです。交通事故を完全に防ぐことはできないものの、事故の確率を下げることはできます。
交通事故もマルウェア感染も、重要なのはユーザーの心構え。マルウェアから身を守るため心構えは、以下の5つです。
- OSやソフトのアップデートを欠かさない
- アンチウイルスソフトをインストールする
- 怪しい添付ファイルは開かない
- 怪しいサイトにアクセスしない
- 怪しいソフトをインストールしない
マルウェアの主な感染源
マルウェアの主な感染源は、以下の3つです。あなたも、一度は怪しいメールやWebサイトを見たことがあるのではないでしょうか。
- メール
- マルウェアを添付する
- Webサイトへ誘導する
- ダイレクトメッセージ
- Webサイトへ誘導する
- Webサイト
- マルウェアをDLさせる
近年では、ターゲットに最適化したメールを送る「スピアフィッシング」が流行です。欧州刑事警察機構によると、2019年にはサイバー犯罪者の65%が主な感染源としてスピアフィッシングメールを使用しています。
世界中の要人を狙ったサイバースパイ作戦
映画ではない「レッドオクトーバー」をご存知でしょうか。レッドオクトーバーとは、世界各国の政府・外交機関を標的とした高度なサイバースパイ活動です。
2013年1月、ロシアのサイバーセキュリティ研究所「カスペルスキーラボ」は、6年間に及ぶ諜報作戦の内容を暴露しました。暴露されたレッドオクトーバーの内容は、世界中の要人のPCなどから重要情報を盗み出していたというもの。
レッドオクトーバー作戦のターゲットは、東ヨーロッパを中心とした全世界です。もちろん、日本もターゲットに含まれていました。レッドオクトーバー作戦の衝撃は、暴露されるまで誰も気づかなかったことです。
ターゲットごとに最適化されたサイバー攻撃は、アンチウイルスソフトでも対策できません。サイバー犯罪の手口は、日々進化し続けます。私たちには、サイバー犯罪に対する知識のアップデートが求められているのです。
SNSにはびこるストーカーたち
SNSの登場により、インターネットの常識は一変しました。「危険」だと言われていたことが「みんながやっているから大丈夫」になってしまったのです。SNSでは、多くのユーザーが”自発的”に個人情報を公開しています。
匿名掲示板が流行っていた黎明期のインターネットでは「個人情報を公開するとネットのおもちゃにされる」という風潮がありました。Twitterには、未だに匿名文化が色濃く残っています。しかし、その他のSNSでは実名文化が主流です。
自分の個人情報を公開するならまだしも、他人の個人情報まで公開しているユーザーは少なくありません。「xxさんと新宿で一緒に食事をした」というようなものから、一緒に自撮りした写真を、他人の顔出しのまま公開しているようなケースもあります。いずれも他人の個人情報を公開しているという意識なく、情報をばらまいてしまっています。SNSは「個人情報をオープンにすることで他者の承認を得る場所」だと言えます。
SNSがもたらした新常識は、個人情報を悪用したいネットストーカーには好都合です。あなたの個人情報の狙っているのは、ハッカーだけではありません。ネットストーカーもあなたの個人情報を欲しています。
SNSのもっとも恐ろしい点は、上げた本人が忘れている古い情報を簡単に掘り返せるところ。SNSに上げた情報は、オープンソースといっても過言ではないのです。「個人情報のGitHub」という見方もできるでしょう。
あなたが数年前に上げた情報を誰かが”利用”している確率は0ではありません。私たちにできるのは、悪用されていないことを祈るだけです。
「鍵垢」は最強の盾ではない
「自分のアカウントには鍵をかけているから大丈夫!」と思っているユーザーは多いでしょう。しかし、アカウントを非公開にしただけでは個人情報の流出を防ぐことはできません。
アカウントに鍵をかけたとしても、許可をした人は見ることができます。「親しい人を装って許可させる」という手法は、ネットストーカーやハッカーの基本テク。ネットストーカーやハッカーは、人間の心理的な隙を突いてくるのです。
親しい人だけを通していても、あなたに不満を抱いて仕返しに流出させることだってあるでしょう。鍵垢だからといって個人情報が流出しないとは限りません。鍵の有無に関わらず、個人情報の公開は「百害あって一利なし」です。
あなたの個人情報はお金で買える
「興信所」という存在をご存知でしょうか。興信所とは、個人や法人の情報を集めて依頼者に報告する民間企業です。興信所は、名前や住所、信用情報までさまざまな情報を収集することができます。
興信所の主な仕事は、浮気調査や身辺調査。ターゲットの友人や元恋人などを装うことで、個人情報を買うことができてしまうのです。興信所は探偵業に含まれるため、業務内容に法的な問題はありません。
興信所がある以上、私たちの個人情報を守ることはできないのでしょうか。個人の特定を完全に防ぐことはできないものの、特定を困難にすることはできます。
SNSは、探偵も利用する重要な情報源。個人情報の公開を控えるだけで時間稼ぎが可能です。もっとも効果的な対策は、特定する側に「コイツの攻略は難しいな……」と思わせること。
脆弱性がなければハッカーが来ることはありません。穴を塞ぐことが基本にして最強の防衛手段なのです。
パスワードはあっさりと破られる
「パスワード破り」と聞くと、高度なことをしているに違いないと思う人がほとんどでしょう。実は、パスワード破りは私たちが想像しているほど難しいことではありません。
一般的なパスワードを破りの手法は「パスワードクラッカー」を用いた総当り攻撃です。パスワードクラッカーとは、よく使われる組み合わせを試したり単語を推測したりするツール。パスワードクラッカーを使えば、どんなパスワードでもいつかは破ることができます。
パスワードを破られづらくするためには、以下の4つを守りましょう。
- 個人情報から推測できないもの
- アルファベットや記号が混在しているもの
- 適切な長さのもの
- 同じものを使い回さない
特に、2つ目の「アルファベットや記号が混在しているもの」と3つ目の「適切な長さのもの」は重要なポイントです。IPA(独立行政法人情報処理推進機構)の調査によると、パスワードが複雑になればなるほど解析にかかる時間は長くなります。(2008年時点の試算)
| 使用する文字の種類 | 4文字 | 6文字 | 8文字 | 10文字 |
| 英字(大文字、小文字区別なし) | 約3秒 | 約37分 | 約17日 | 約32年 |
| 数字+英字(大文字、小文字区別あり) | 約2分 | 約5日 | 約50年 | 約20万年 |
| 記号+数字+英字(大文字、小文字区別あり) | 約9分 | 約54日 | 約1千年 | 約1千万年 |
出典:https://www.ipa.go.jp/security/txt/2008/10outline.html
「複雑なパスワードを何個も覚えられない!」という方には、パスワードマネージャーがおすすめです。パスワードマネージャーとは、パスワードを保存したり呼び出したりする保管庫のようなもの。パスワードマネージャーの利用は「伝説のハッカー」ことケビン・ミトニック氏もおすすめしています。
パスワードが破られた後のことも考えよう
パスワードをどれだけ強力にしようと、何かの表紙に流出する可能性は否定できません。パスワードが破られた後の行動は、強力なパスワードを考えるのと同じくらい重要です。
パスワードが破られた後にすべきは、アカウントを一時停止すること。「アカウントが乗っ取られた」という主旨の連絡をすれば、サービスの運営者があなたのアカウントを止めてくれます。
アカウントを一時停止させるための連絡先を頭の片隅に置いておきましょう。
インターネットは無法地帯
インターネットは、ストーカーやハッカーがはびこる無法地帯です。自分の個人情報を守ることができるのは自分しかいません。
ベストな防衛策は、危険な場所には近づかないこと。しかし、インターネットが浸透してしまった現在では、あまり現実的な方法ではないでしょう。現実的ではないからこそ、自分の身を守る術を頭の片隅に置いておく必要があります。
一田和樹著『サイバーセキュリティ読本【完全版】』は、小説形式で読みやすい内容でした。内容は少し古いものの、サイバーセキュリティの普遍の真理を学ぶには丁度良い1冊です。サイバーセキュリティ初心者でも読みやすい本を探している方におすすめします。
サイバーウェーブでは一緒に働く仲間を募集しています
サイバーウェーブでは一緒に働く仲間を募集しています。当社は創業20年を機に「第2の創業期」として、事業を拡大方針へと舵を切りました。会社が急拡大しており、若いメンバーやインターン生がどんどん入社しています。個人の成長は、勢いのある環境のなかでこそ加速されるものです。成長事業に参画できるチャンスです!
サイバーウェーブはコード1行1行に対してこだわりを持って、プロ意識をもったエンジニアを育てている、技術力に自信のあるシステム開発会社です。社内には、創業23年のノウハウの詰まった研修コンテンツや、安定したシステム開発をするための手順が整っています。実力のあるシステム開発会社だからこそ、経験を積みながら、実践的なシステム開発の技術も学ぶことができます。自信をもって主義主張ができる『飯が食える』エンジニアを目指していただきます。
エンジニアとしてしっかりと飯を食べていけるまでには、道のりは決して短くありません。長期で頑張り、エンジニアになるという強い思いがあれば、実戦的な開発経験と、周りの仲間とコミュニケーションしながら、しっかりと成長することができます。当社のノウハウを余すことなく活かし、技術力を大きく伸ばしていただきます。
ぜひ、エントリーをお待ちしております!
インターン採用
新卒・既卒・第二新卒採用
