拡張頭蓋 | Extended Cranium

もしかすると誰かの役に立つかもしれないことを書き留めておく

ノートン サイバーセキュリティ インサイトレポート 2017 まとめ (2): 犯罪被害者ほど道徳上問題のある行動をとる傾向がある、基本的対策とは

Norton Symantec 2017 Security VPN WiFi まとめ サイバー犯罪 セキュリティ スマートフォン ノートン バックドア マクロ マルウェア マルスパム メール 情報漏えい 情報セキュリティ 白書 身分詐称

前回までの内容

ed3159.hatenablog.com

サイバー犯罪被害者の方が非被害者よりも道徳上グレーな行為を容認している

  • グローバルで 81% の消費者は「サイバー犯罪は犯罪」と認識しているがその 43% が「道徳的に問題のあるオンラインでの行動」を自分がやっている
    • グローバルで 26 % の消費者は、「他人のメールを同意を得ずに読むことは許容されうる場合がある」と回答
    • グローバルで 21% の消費者は、偽のメールアドレスや他人のメールアドレスをオンラインで詐称することは許容されうる場合がある」と回答
    • グローバルで 15% の消費者は、「他人の金融口座に同意を得ずにアクセスすることは許容されうる場合がある」と回答
  • グローバルでサイバー犯罪被害者の 53% がこうした「道徳上問題がある行為」を容認しているが、サイバー犯罪の被害にあっていない人では 32% のみが容認している
    • グローバルで 31% のサイバー犯罪被害者は、「他人のメールを同意を得ずに読むことは許容されうる場合がある」と回答しているが、非サイバー犯罪被害者では同じ回答をしたのは 18% のみ
    • グローバルで 25% のサイバー犯罪被害者は、「オンラインで身分を詐称することは許容されうる場合がある」と回答しているが、非サイバー犯罪被害者では同じ回答をしたのは 14% のみ
    • グローバルで 18% のサイバー犯罪被害者は、「他人の金融口座に同意を得ずにアクセスすることは許容されうる場合がある」と回答しているが、非サイバー犯罪被害者では同じ回答をしたのは 10% のみ

2017 年の度重なる侵害事件にもかかわらず、消費者は個人情報を預かる信用情報会社等の機構への信頼は失わない一方、政府への信頼は失う

  • 消費者はグローバルで、個人情報を預かる以下のような組織に対し、従来と同じレベルの信頼を保ち続けている:
    • 76% が ID 詐称対策サービスを信頼している
    • 80% がインターネット サービス プロバイダを信頼している
    • 80% がメール プロバイダを信頼している
    • 82% が金融機関を信頼している
    • 41% の消費者が政府が政府の保持するデータや個人情を保護できていないと考えている (=> 59% のみが政府を信頼している)

対策

基本的なことをないがしろにしない

  • 基本に忠実に。顔認証や声紋認証は確かに効果的だが、それはパスワード認証などの基本的対策をきちんと行った場合にのみ効果を発揮する
    • 公開されている情報に紐づくようなパスワードは使わず、自分自身は覚えやすく、十分に長く、他人はわからないランダムなパスワードを作成し、利用できるのであれば二段階認証や二要素認証を利用すればさらに悪用は難しくなる。またアカウントに侵害を通知する機能やログインのつど通知する機能があるかどうかを確認し、ある場合は有効にする。パスワードが侵害されたと通知があるか、見に覚えのないログインが確認された場合を除き、一定期間でパスワードを変更する必要はないだろう。また覚えるのが難しいと感じる場合はパスワード管理ソフトを利用するのが良い*1
    • 公衆 WiFi の利用は慎重に。個人情報やアカウント情報を保護されていない WiFi で流さない。クレジットカード、ログイン、などの行為は行わない。やむなく公衆 WiFi 経由でそうした情報をやりとりする場合、最低限 VPN を利用すること。
    • ルータや IoT 機器などは購入直後にデフォルトパスワードから変更すること。必要なければホーム用の IoT 機器はリモートからのログイン無効化をすること。ワイヤレス接続をする場合は WiFi の方式とパスワードを強力なものにして漏えいを防ぐこと。
    • フィッシングメールにひっかからないこと。メールに添付されたファイルやリンクはとくに知らない人からの場合は開かない。知っている人からでも、相手の PC やメールアカウントが侵害されている可能性がある点に考慮すること*2
    • 所有しているデバイスに最新のセキュリティ対策を導入する*3

*1:フレーズからパスワードを作成する方法は案外ランダムにはならないため、筆者はお勧めしない。パスワードを覚えることなど最初から考えず、パスワード管理ツールの生成機能で生成した許容しうる限りの長さと複雑さの完全にランダムな文字列を利用する方がまだマシなパスワードができる。パスワード管理ソフトも信頼しないのであれば、生成だけ毎回パスワード管理ソフトにやらせて、ログインのつどパスワードリセットリクエストを送信するという使い方の方をするほうが良いだろう。二段階認証・二要素認証を利用できる場合たしかに利用することでセキュリティが強化できる場合もあるが SMS で6桁の数字を送信するなどの二段階認証しか用意していない場合、この仕組み自体を悪用することが可能なので、Google Authenticator や Octa などサードパーティの数値生成サービスが利用できる場合に利用するなども検討が必要。またパスワード管理ソフトを名乗るアプリの中には、パスワード窃取を目的としたマルウェアも出回っているため、評判が高く信頼のできる有料のものを利用すること。

*2:メールに添付されているファイルや文中のリンクは誰からのものであっても直接開かない方が良いと筆者は考える。送られてくることが期待されている文書をよく知っている送信者から受け取った場合でも、余裕があれば2-3日開けずにおいておき、スキャンさせてから開くほうがよいだろう。開く場合は一度プレビューで開き、拡張子の偽造やマクロの埋め込みなどがないかどうかを確認することが望ましい。文中のリンクはカーソルをロールオーバーし、本当に意図されたドメインに接続するかどうかを綴り間違いがないかを含めて確認すること。銀行やショッピングサイトなどからのメールであれば、文中リンクはいっさいクリックせず、ブックマークしているサイトや検索したサイトで表示されたリンクからアカウントにログインし、そこから内容を確認するのが望ましい

*3:一部の安価なスマートデバイスは、メーカー出荷時点ですでにハードウェア的にバックドアが仕込まれている場合があり、スマートデバイス上で対策をしても手遅れである場合がある。このため、後からつけたしで対策をするのではなく、どのようなスマートデバイスを選ぶかが重要となる。OS 自体が堅牢なエコシステムを持っているかどうか、セキュリティ更新が十分な頻度・速度で提供されているかに加え、サードパーティのストアからはアプリを入手しないなどの基本的対策もする必要がある