無防備にクラウドを使うと"秘密がバレる"

※写真はイメージです。（写真＝iStock.com／filadendron）

ビジネスでも日常生活でもクラウドサービスは身近になった。だが、メールアドレスとパスワードの紛失でデータにアクセスできなくなったり、クラウドサービスの終了でデータが消えたりする危険性がある。さらに怖いのは、不正アクセスによる情報流出だ。どうすれば防げるのか――。

■クラウドサービスなら本当に安心か

写真や書類などの大切なデータやファイルを、皆さんはどのように保管しているだろうか。スマホは落としたりなくしたりすることがあるし、パソコンなどもクラッシュすることがあり、安心できない。そのように考えて、クラウドサービスに預けている人も多いだろう。

クラウドとは「クラウドコンピューティング」の略であり、ネットワーク経由で利用できるサービス全般をクラウドサービスという。クラウドサービスには、Webメールなどのソフトウェア機能を提供するもの、データベースなどのアプリケーション実行用のプラットフォーム機能を提供するもの、ハードウェアやインフラ機能を提供するものなどがある。クラウドサービスは端末や場所に縛られないため、どのような環境でも利用できるのがメリットだ。

では、クラウドサービスなら本当に安心なのだろうか。個人・企業の実例から、主にソフトウェアやストレージ系のサービスに注目して、安全性を見ていきたい。

■セルフヌード写真の大量流出事件

実はクラウドサービスに預けたデータが流出した事件は少なくない。2014年8月、AppleのクラウドサービスiCloudからハリウッドセレブのセルフヌード写真を含むプライベート写真が500枚以上と大量に流出した。被害者には、ジェニファー・ローレンスやケイト・アプトンなど、著名女優が多数含まれていた。

この事件では、iCloudの脆弱性が狙われたわけではなく、ユーザー名、パスワード、セキュリティのための質問に的を絞った攻撃により、不正アクセスをされたことがわかっている。著名人は誕生日やペットの名前、趣味などのさまざまな個人情報が公開されているため、類推しやすかったと考えられるのだ。容疑者は100人以上の著名人のプライベート写真を入手し、インターネット上で共有していた。

日本でも似た事件が起きている。2016年11月、日本経済新聞社の社員だった男が、モデルの押切もえさんや元NMB48の渡辺美優紀さんら女性4人の利用するクラウドサービスへ不正にアクセスした疑いで逮捕された。ハリウッドセレブの事件と同じく、名前や誕生日、ニックネームを組み合わせて、パスワードを類推していたという。

■SNSの“遊び”からパスワードがバレることも

この前年には、長崎県の男が長澤まさみさんや武井咲さんのiCloudやFacebookに不正ログインし、プライベート写真などをのぞき見て逮捕される事件が起きている。このケースでもパスワードを誕生日などから類推していたという。IDやパスワード、秘密の質問などが単純なわかりやすいものの場合、このように容易に突破されてしまうことがあるのだ。

若者たちの間では、「バトン」や「Peing（質問箱）」など、相手から出されたさまざまな質問に答える遊びやサービスがはやっているが、そうしたサービスを利用していると、パスワードを類推するヒントを与えることになる。利用には注意が必要だ。

そして、パスワードをオリジナルで複雑なものにし、セキュリティのための質問を類推しづらいものにしておく。そのうえで、「2段階認証」を活用するといい。

2段階認証とは、認証を二重にすることでセキュリティを強化し、万が一、パスワードが漏れたとしても、本人以外はアクセスできないようにする認証方法だ。

■メールアドレス変更でデータにアクセスできず

クラウドサービスでデータにアクセスできなくなる理由で多いのは、パスワード失念だ。パスワードを忘れただけなら問い合わせればわかるので問題ないのだが、ある知人は「メールアドレスを変更した状態でIDとパスワードを忘れてしまった」という。機種変更を機にメールアドレスを変更しており、以前のものは使えなくなっていたのだ。その結果、データに完全にアクセスできなくなり、運営会社に問い合わせてもどうにもできなかったそうだ。

またある人は、もう使わないと思いGoogleアカウントを削除してしまった。ところが削除してしばらく経って、Googleドライブに写真を残していたことに気づき、青くなったという。

■Googleアカウントの救済策

実は、Googleアカウントには救済策が用意されている。削除してから一定期間内であれば、アカウントが本人のものであると確認するためのさまざまな質問に答えられれば復元できることがあるのだ。

このときは幸い、削除してからまだそれほど時間が経っていなかったので、復元して写真データも取り戻すことができた。しかし「回答を間違えた質問もあり、復元できないのではないかと焦った」という。Googleアカウントはさまざまなデータと紐付いているので、容易に消さない方がよさそうだ。

また、使っているクラウドサービスが終了することもある。実はクラウドサービスは次々と出ては消えている。これまでに、LINEの「Nドライブ」、キングソフトの「KDrive」、リコーの「Keenai」など、多くのサービスが終了している。クラウドサービスに大切なデータを多数預けている場合、データをほかのサービスに移す際に苦労する。移行の作業をさぼれば、すべてのデータは消えてしまう。

終了が怖い人は、Googleドライブ、Microsoft OneDriveなどの、簡単には終了しそうにない大手クラウドサービスを利用しておく方が無難かもしれない。

■企業で多い「人的ミス」による流出

では、企業の場合はどうだろうか。企業でも、顧客データなどのさまざまな情報管理に法人向けクラウドサービスを利用するところが増えてきている。一般的な会社では、社内サーバーでデータを保管するよりも、法人向けクラウドサービスに保管するほうが、セキュリティレベルは高くなるだろう。自然災害や停電などによるデータ破損などのリスクも避けられるという意味でも、クラウドサービスは安心度が高い。

しかし企業で多いのが、誤操作、誤送付などの人的ミスによる流出リスクだ。データ共有をする場合に、社員が間違った相手や間違ったファイルなどを共有してしまうミスは少なからず起きている。人的ミスはなかなか防ぎづらいものなので、チェック機能などが用意できるといいだろう。

■Uberでも起きた個人情報流出

2017年には、Uberが自社のネットワーク上にあった5700万人のユーザー情報と60万人の運転手に関する個人情報を流出させたことが明らかとなった。2016年10月、同社エンジニアがUberのユーザー名やパスワードを含むコードを「GitHub」の個人アカウントで公開していることを、あるハッカーが発見。

ハッカーはUberのネットワークで開発者アカウントにアクセスし、同社のサーバーにアクセスしてユーザー情報などにアクセスしたというわけだ。Uberはこの事実を一年間隠蔽していた上、ハッカーに10万ドル支払っていた。これもやはり人的ミスが原因と言えるだろう。

クラウドサービスは、非常に便利で時代に合ったサービスだ。うまく使えば仕事もプライベートもより便利に効率的になる。しかし、クラウドサービスのセキュリティは必ずしも万全ではない。さまざまなリスクがあることを理解しておくべきだろう。

----------

高橋 暁子（たかはし・あきこ）
ITジャーナリスト
書籍、雑誌、Webメディアなどの記事の執筆、企業などのコンサルタント、講演、セミナーなどを手がける。 SNSなどのウェブサービスや、情報リテラシー教育などについて詳しい。元小学校教員。『ソーシャルメディア中毒』（幻冬舎）など著作多数。『あさイチ』『ホンマでっか!?　TV』などメディア出演多数。公式ブログ

----------

（ITジャーナリスト 高橋 暁子 写真＝iStock.com）