米国フロリダ州オーランドにあるウォルト・ディズニー・ワールド・リゾートが興味深いCMを公開していました。
その内容は米国各地で「ウォルト・ディズニー・ワールドの忘れられない思い出は?」と、道行く人に聞くというものです。世はまさにスマートフォン時代、即座に自分のスマートフォンから、思い出の写真を出してくれるというシーンを繰り返し流すという、大変印象的なものでした。
デジタルカメラがスマートフォンに置き換えられた結果、成果物である写真(=思い出)が、その手の中に全て保存されているということをうまく表現したCMで感心しました。
スマートフォン時代……と表現しましたが、もはやデバイスそのものの中にはデータが全て存在するわけではなく、スマートフォンはその裏にあるクラウドへの玄関口、といったところでしょうか。これは正にクラウド時代。しかし、もう少し考えて見ると、クラウド時代というより“アカウント”時代と考えた方がいいかもしれません。
●スマートフォン、そしてクラウドのその先にある「アカウント」をどう守る?
思い出はスマートフォンの中。そして、そのスマートフォンとはもはやクラウドにつながるためのデバイスであり、思い出はクラウドの中にあります。そのクラウドへのアクセスには、本人の認証が必要です。思い出とはもはや本人認証で守るものになった、というのが現在のIT時代の本質といえるでしょう。
クラウドそのもののトラブルはゼロではありませんが、多くのクラウドサービスは暗号化を施され、データベースそのものを奪われるという話は目立っていないと考えています。しかし、認証部分、つまりIDとパスワードが盗まれるという話は枚挙に暇がありません。私たちが守るべきは「アカウント」そのもの。認証部分を守ることを、個人レベルでもしっかりと考えていく必要があるでしょう。
スマートフォンが当たり前になって、もう干支が一回り位したと思います。筆者も日本で「iPhone」がリリースされた2008年からの写真を、全てクラウドに保管しています。「iCloud」そのものが攻撃されて写真データなどが奪われるよりも、アカウントを奪う方が簡単です。思い出を守るために、私たちができることを考えなくてはなりません。
その1歩目はやはり「2要素認証」です。“パスワードは漏えいしている”と想定し、記憶ではなく所持情報を基に、もう1要素を認証に使うというものです。スマートフォンを持っている人にしか分からない、ワンタイムパスワードやSMSの内容などを使うもので、レベルの低い攻撃者であればこれでリスクは低減できるはずです。
しかし、それなりの知識を持つ攻撃者は、この2要素認証を突破する手法を持っているので、完璧な対策とはいえず、カジュアルな攻撃者への対策という程度に考える必要があるでしょう。それでも、この対策は大きな価値があります。特に、インフルエンサーレベルのSNSアカウントなどは常時目を付けられていると考え、必ず2要素認証を設定するようにしましょう。もちろん、パスワードも複雑なもの(つまり、誕生日や電話番号のようなものではないもの)にしておきましょう。
2024年8月5日、KADOKAWAがランサムウェア攻撃による情報漏えいのレポートを新たに公開しました。この中では現時点ではその経路および方法は不明であるとしつつ、「フィッシングなどの攻撃によって従業員のアカウント情報が窃取されてしまったことが本件の根本原因であると推測」されると発表がありました。実はアカウントを守るということは、個人の思い出を守るだけでなく、個人が所属する組織に対しても非常に重要なポイントであることが分かります。
●思い出を、そして組織を守るために今できること
パスワードに関しては、これまでも多くの“推奨事項”がさまざまな場所から発信されてきました。しかし習慣とは恐ろしいもので、自分は大丈夫であると信じ込み、10年以上使い続けている1つのパスワードを利用している方も多いはずです。しかしそろそろその悪しき伝統を断ち切り、新たなパスワード運用を考えてみてはどうでしょうか。
攻撃者は2要素認証を突破する力を持っています。私たちも、新たな力を手に入れる必要があるはずです。まずは、Webブラウザの機能を活用してみてはいかがでしょうか。次に新規サービスにてアカウントを作成する際に、ID/パスワードを入力するとき、そのパスワード作成をWebブラウザに任せてしまってみてください。
「Google Chrome」を利用している場合、パスワード入力欄で右クリックすると、「パスワードを自動生成」というメニューが出てきます。これをクリックすると、安全なパスワードが自動生成されるだけでなく、それをWebブラウザで保存してくれるため、あなたはもう、パスワードを覚える必要が無くなります。
筆者も最初は恐る恐るこれを試していました。もしこのパスワードがパスワードマネジャーに保存されていなかったらログインできなくなってしまうと不安でしたが、その時にはパスワードを再発行する手順を試すだけでよいので、さほど大きなリスクではありません。
この他、保存されたパスワードは最初に入力したドメインとひも付きますので、攻撃者が作った見分けの付かない偽のWebサイトには、保存されたパスワードが入力されることはないはずです。これによってフィッシング対策にもなりますので、メリットは非常に大きいはずです。
重要なアカウントからではなく、今後新たに登録する際に、ぜひ一度この方法を試してみてください。そうすれば、皆さんのパスワードにもきっと新たな習慣がつき、絶対に不可能だと思っていたパスワード使い回し防止を、Webブラウザの機能で実現できるようになるはずです。この方法を使った方は、次はパスワードマネジャーそのもののアカウント(Googleアカウントなど)、さらにはPCのロックが重要となります。全てのパスワードを覚えるよりはより簡単ですので、ぜひ、次からこの方法を試してみてください。
●「パスワードレス」は正しく使おう
加えて、最近では多くのサービスが「パスキー」に対応しています。これもぜひ、一度体験してみてください。びっくりするほど簡単に、それなりの強度でアカウントを保護できます。Googleをはじめとした電子メールをつかさどるアカウントなどでまず体験してみてください。
そして、旧来の簡単なログイン手法に関してはぜひ、このタイミングでパスキーに置き換えるようにしてください。非常に気になる話として、以前よりSMSを使ったログイン機能を提供していたYahoo! JAPANのログインにおいて、登録されていた携帯電話番号を解約した場合、後に電話番号が他の人に再利用された結果、他人がログインできてしまうという事象が発生しています。
Yahoo!側でも再利用を想定した対処が行われていた模様ですが、こういったことも起きえることは理解し、携帯電話番号を変えた場合は各種アカウントに対しても、正しく反映しなくてはなりません。企業においても、SMS認証のリスクの一つとして考えておく必要があるでしょう。
アカウントの認証は、個人にとっては思い出そのものであり、企業にとっても情報資産そのもの、組織が守るべきものと考える必要があります。攻撃者はフィッシングのテクニックを使い、アカウントを奪うことに注力するでしょう。ITに関わる全ての人が、アカウント保護を考えなくてはなりません。本日が悪しき習慣を変える初日になればうれしいです。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。