セキュリティの軽〜いお話
(U.S. FrontLine誌 2012年8月5日号 掲載分)
Facebookは、あくまでも各個人が、友達や知り合いとの輪を広げたり、家族や親戚との関係を繋いだりと、とにかくプライベートな交流を楽しみたい人が基本のユーザーベ ースとなっている、SNS(ソーシャルネットワーキングサービス)です。もちろん、それ以外の用途もたくさんあり、ビジネス目的でアカウントを開設する人もいますが、メインはあくまでもパーソナルユースといえます。
ところで、LinkedInというSNSをご存知でしょうか?主にビジネス上でのネットワーキングを目的としたビジネスユース専門のSNSで、Facebookのように色々と“遊ぶ” 要素は薄いのですが、誰がさらに誰につながっているのかが分かりやすく、ビジネスネットワークを広げるという行為を、あえて露骨に、しかも堂々とできるのが1つの特徴ともいえます。また参加したグループでの議論や質問をしたり、ニュースや専門的な最新情報を共有したりすることもできます。
ビジネスユースに特化したSNSでは、アメリカNo.1といえます。ただ今年の6月にハッキングに遭い、650万〜800万人分のパスワードが流出したと報じられました。暗号化された形だったので、すべてが解読されてしまったわけではないらしいのですが、もしLinkedInにアカウントをお持ちで、未だにパスワードを変更していなければ、すぐに変更すべきです。
パスワードは何のためのもの?
今回の騒動で、自分のパスワードがリークしたのかを調べられるサイトが登場しました。面白かったのが、あまりにもお粗末なパスワードが多いという事実でした。
パスワード管理アプリを開発するSplashData社が以前に発表した、2011年の最悪のパスワードのワースト25に挙げられていた、「password」、「123456」といったものは すべて入っていた上、「i h a t e m y j o b」(仕事が嫌い)、「fuckmylife」(俺の人生最悪)、「iwantanewjob」(新しい仕事が欲しい)や「strongpassword」(強力なパスワード)なんてのもあったようです。これだと、データを暗号化してあっても、意味がないですね(笑)。
余談ですが、私なら先に挙げたようなサイトが出てきても、完璧に信頼できる会社のものでなければ、絶対に安易に利用はしません。むしろ藪蛇にならないように、騒動に乗じたフィッシングサイトでは? と疑ってかかります。そんな回りくどい心配をするよりも先に、真っ先にパスワードを完全に変更すべきなのです。
レイジーの先にあるものは?
しかし人は実にレイジー(怠慢)な生き物のようで、色んなサイトに同じパスワードを共通して使っているユーザーも結構いるようです。皆さんは人やモノを簡単に信じてしまう、“心優しい”人なのでしょうが、その純粋さはどうか、セキュリティとは無縁のものに向けてください。
完璧なセキュリティシステムなど物理的に存在しません。また本稿で以前に、「情報漏えいの7割は社内から」とお話したように、組織が大きくなるほど、ハードやソフトウェア以外のコントロール不能な危険も多く含まれてきます。
考えてもみてください。一般にどこかのサイトでアカウント登録する際に、ユーザー名の多くはEメールを利用します。そしてそのサイトの内部の何人かは、必要性も含め、登録されたEメールとパスワード情報にアクセスできます。勿論そのサイト内でそれを使って悪事を働くとは考え難いにしても、その情報が他のサイトでも使えたら、どうでしょうか? Eメールは一貫して同じ場合が多いので、なお更パスワードをサイト毎に変えなければ、わざわざ自分の大事な鍵の番号を、見ず知らずの他人に教えているようなものだと思いませんか?
ある絶句した問い合わせ
ウェブ制作を考えているという内容だったのですが、以前にもサイトやTwitterをもっていたが、PCをハッキングされたらしく、Eメールの内容など、本人以外知りえないことが、自身のTwitterに書き込みされるというのが続き、怖くなって止めた、というお話でした。
問題を解決するため、業者にも相談して、色々とスキャンやトレースもし、キーロガー(キーボートの入力を盗むスパイウェア)などの、セキュリティ対策もしてもらったけれど、状況は改善されなかったそうです。
更に聞いてみました。「今、その問題のPCは?」「まだ使っています」「えっそのままで?」「パスワードはコピペしてるから大丈夫ですよね?」「ちなみにPCの管理者ユーザーのパスワードは?」「設定していません。毎回入力するのが面倒で」「(沈黙…)まずはOSの再インストールをするかPCを買い替えるかして、パスワード設定されてからですね…」
Facebookは、あくまでも各個人が、友達や知り合いとの輪を広げたり、家族や親戚との関係を繋いだりと、とにかくプライベートな交流を楽しみたい人が基本のユーザーベ ースとなっている、SNS(ソーシャルネットワーキングサービス)です。もちろん、それ以外の用途もたくさんあり、ビジネス目的でアカウントを開設する人もいますが、メインはあくまでもパーソナルユースといえます。
ところで、LinkedInというSNSをご存知でしょうか?主にビジネス上でのネットワーキングを目的としたビジネスユース専門のSNSで、Facebookのように色々と“遊ぶ” 要素は薄いのですが、誰がさらに誰につながっているのかが分かりやすく、ビジネスネットワークを広げるという行為を、あえて露骨に、しかも堂々とできるのが1つの特徴ともいえます。また参加したグループでの議論や質問をしたり、ニュースや専門的な最新情報を共有したりすることもできます。
ビジネスユースに特化したSNSでは、アメリカNo.1といえます。ただ今年の6月にハッキングに遭い、650万〜800万人分のパスワードが流出したと報じられました。暗号化された形だったので、すべてが解読されてしまったわけではないらしいのですが、もしLinkedInにアカウントをお持ちで、未だにパスワードを変更していなければ、すぐに変更すべきです。
パスワードは何のためのもの?
今回の騒動で、自分のパスワードがリークしたのかを調べられるサイトが登場しました。面白かったのが、あまりにもお粗末なパスワードが多いという事実でした。
パスワード管理アプリを開発するSplashData社が以前に発表した、2011年の最悪のパスワードのワースト25に挙げられていた、「password」、「123456」といったものは すべて入っていた上、「i h a t e m y j o b」(仕事が嫌い)、「fuckmylife」(俺の人生最悪)、「iwantanewjob」(新しい仕事が欲しい)や「strongpassword」(強力なパスワード)なんてのもあったようです。これだと、データを暗号化してあっても、意味がないですね(笑)。
余談ですが、私なら先に挙げたようなサイトが出てきても、完璧に信頼できる会社のものでなければ、絶対に安易に利用はしません。むしろ藪蛇にならないように、騒動に乗じたフィッシングサイトでは? と疑ってかかります。そんな回りくどい心配をするよりも先に、真っ先にパスワードを完全に変更すべきなのです。
レイジーの先にあるものは?
しかし人は実にレイジー(怠慢)な生き物のようで、色んなサイトに同じパスワードを共通して使っているユーザーも結構いるようです。皆さんは人やモノを簡単に信じてしまう、“心優しい”人なのでしょうが、その純粋さはどうか、セキュリティとは無縁のものに向けてください。
完璧なセキュリティシステムなど物理的に存在しません。また本稿で以前に、「情報漏えいの7割は社内から」とお話したように、組織が大きくなるほど、ハードやソフトウェア以外のコントロール不能な危険も多く含まれてきます。
考えてもみてください。一般にどこかのサイトでアカウント登録する際に、ユーザー名の多くはEメールを利用します。そしてそのサイトの内部の何人かは、必要性も含め、登録されたEメールとパスワード情報にアクセスできます。勿論そのサイト内でそれを使って悪事を働くとは考え難いにしても、その情報が他のサイトでも使えたら、どうでしょうか? Eメールは一貫して同じ場合が多いので、なお更パスワードをサイト毎に変えなければ、わざわざ自分の大事な鍵の番号を、見ず知らずの他人に教えているようなものだと思いませんか?
ある絶句した問い合わせ
ウェブ制作を考えているという内容だったのですが、以前にもサイトやTwitterをもっていたが、PCをハッキングされたらしく、Eメールの内容など、本人以外知りえないことが、自身のTwitterに書き込みされるというのが続き、怖くなって止めた、というお話でした。
問題を解決するため、業者にも相談して、色々とスキャンやトレースもし、キーロガー(キーボートの入力を盗むスパイウェア)などの、セキュリティ対策もしてもらったけれど、状況は改善されなかったそうです。
更に聞いてみました。「今、その問題のPCは?」「まだ使っています」「えっそのままで?」「パスワードはコピペしてるから大丈夫ですよね?」「ちなみにPCの管理者ユーザーのパスワードは?」「設定していません。毎回入力するのが面倒で」「(沈黙…)まずはOSの再インストールをするかPCを買い替えるかして、パスワード設定されてからですね…」
