連日ネットやテレビでは武漢肺炎(新型コロナウイルス)の話題ばかりで、しかも都内での感染者数は連日増え続け、ついに130名を超えてしまった。いつ東京がロックアウト(都市封鎖)になるか、いつ政府が非常事態宣言を出すか?予断を許さない状態が続いている。
学校の休校や、不急不要な外出の自粛要請がいつまで続くかも分からない中、学校でのオンライン授業や企業のテレワーク活用といった、空疎な「掛け声」ばかりが聞こえて来るようだ。
私はセキュリティの専門家ではないが、学校のオンライン授業や企業のテレワークでは、当然ながらセキュリティが重要になる。仮にITリテラシーがあったとしても、セキュリティリテラシーがあるとは限らない。そこで自分のメールアドレスやパスワードが大丈夫なのか?漏洩をチェックすることで、セキュリティについて注意喚起をしておきたい。
メールアドレスの漏洩をチェックする
最近はTwitterやFacebookといったSNSのアカウントを持っているのが普通だし、多くのウェブサービスでも新規登録時にSNSアカウントがあれば登録可能で、サイトにログインすることも可能になっている。
私の場合はTwitterでアカウントがロックになったり、凍結になったりした経験があるので、ウェブサービスの登録やログインにSNSアカウントを使ったりはしない。そもそもSNSアカウントを作成する際にはメールアドレスが必要なケースが圧倒的だ。
基本的にネットではメールアドレスとパスワードでセキュリティを担保するが、パスワードの使い回しはリスクが高い。よって、SNSを含むウェブサービスで利用するメールアドレスは同一のものを使い回すにせよ、パスワードはサービスごとに使い分ける方が望ましい。
そこで、まずは自分のメールアドレスが漏洩されているかを次のサイトでチェックする。
単純に自分のメールアドレスが漏洩しているかどうかをチェックするなら、日本語だし1つ目のFirefox Monitorの方が簡単だろう。しかし、本稿ではパスワードの漏洩もチェックするので、2つ目のHave I Been Pwnedの使い方を紹介したい。と言うのも、Firefox Monitorにデータを提供しているのがHave I Been Pwnedだし、運営しているのはMicrosoftのセキュリティディレクターでセキュリティ研究者としても著名なTroy Hunt氏なので、信用出来るサイトであるからだ。Have I Been Pwnedは2013年のサイト開設以来、データベースに登録された流出アカウントは約95億5300万件、流出したサイトは437件(2020年4月現在)となっている。
英語サイトなので日本人にはとっつきにくいが、メールアドレスとパスワードの漏洩を確認するだけなら簡単だ。そこで、上記2つ目のHave I Been Pwnedをクリックする。
① 漏洩をチェックしたいメールアドレスを入力する
② 赤枠「pwned?」をクリックする
メールアドレスの漏洩がない場合、図のように「Good news — no pwnage found!」(意訳:「朗報-略奪は見付かりませんでした!」)と表示される。
ところが、メールアドレスの漏洩がある場合、図のように「Oh no — pwned!」(意訳:「ああ、ダメだ!」)と表示される。この場合は早急にパスワードを変更するべきで、すでに何らかの個人情報が漏洩していると考えた方が良いだろう。パスワードの漏洩チェックに関しては後述する。
※「pwned」はネットスラングの「ownage」(誰かを負かすこと、誰かに勝つこと、誰かを出し抜く行為、の名詞)が転じて出来た言葉で、「o」を「p」に変えてタイプすることで、「正しくタイプできなかったほどあまりに興奮していた」といった雰囲気も含まれている(らしい)
パスワードの漏洩をチェックする
「パスワードの使い回しはリスクが高い」とは言え、ウェブサービスごとにまったく違うパスワードを設定して管理している人の方が少ないのが実情だろう。では、今設定して使っているパスワードは安全なのか?使い回しているパスワードは漏洩していないか?
まずはチェックしてみよう。
Have I Been Pwnedサイトで図の赤枠「Passwords」をクリックする。
① チェックしたいパスワードを入力する
② 赤枠「pwned?」をクリックする
パスワードの漏洩がない場合、図のように「Good news — no pwnage found!」(意訳:「朗報-略奪は見付かりませんでした!」)と表示される。
ところが、パスワードの漏洩がある場合、図のように「Oh no — pwned!」(意訳:「ああ、ダメだ!」)と表示される。この場合はネットでのパスワードで最低限要求される6文字のパスワードで最も簡単な「123456」をチェックした例だが、2,300万件以上も見付かっている(漏洩されている)のが分かる。
当然ながら、
This password has previously appeared in a data breach and should never be used. If you’ve ever used it anywhere before, change it!
適当訳:このパスワードは以前にデータ侵害に出てきたものであり、決して使用すべきではありません。以前に使用したことがある場合は、変更して下さい!
と表示される。そりゃまぁ、そうだわな。
パスワードは一般的に「推察されない」ことが基本になる。しかし、覚えやすい(忘れにくい)ことから、簡単な数列や誕生日、電話番号等をパスワードに設定する人が跡を絶たない。しかし、メールアドレスが漏洩していてパスワードが漏洩していれば、まず確実に自分の個人情報がネットでダダ漏れしていると考えて間違いないだろう。
「迷惑メールが来て困っている」人は、まず間違いなくメールアドレスが漏洩していて、ネットのアンダーグラウンド市場で売買されている。この場合、メールアドレスを大量に購入したスパマーやネット詐欺師に狙われていると考える方が良いだろう。そして単純なパスワードや、推察可能なパスワードを設定している場合は、いとも簡単に利用している各種SNSやウェブサービスが突破されてしまう。
ネット証券やネットバンキングは一段と高いセキュリティを課しているので、そうそう簡単に突破されないが、例えばアマゾン等のECサイトから情報を引き抜いて悪用するぐらいのことなら、そんなにハードルは高くないとも言える。
ネットで自衛するには?
Have I Been Pwnedでは、「Notify me」で情報漏洩が見付かった際にメールで通知してくれる機能もあるが、正直そんな通知を受け取っても「どうしようもない」のが実情だ。と言うのは、いくら自分でメールアドレスを公開せずパスワードを秘匿して管理していても、各種SNSやウェブサービスに登録したり利用する際には、否応なく提出せざるを得ない。そのSNSやウェブサービスを提供している側が情報漏洩していれば、個人で対策しようがないからだ(せいぜいパスワードを変更する程度)。
実際にFacebookでは、今まで何度もあり得ないレベルと規模で個人情報が流出(漏洩)しているし、TwitterやGoogle、Yahoo!でも情報漏洩事故は今までに何度か発生している。こういった世界的な大手企業のサービスではない国内の事業者や、もっと言えば個人のブログサイトのコメント欄ですら、メールアドレスとパスワードで認証していたりする。そういったサイトで情報漏洩していないと断言する方が難しい。
例えば非常に基本的なことだが、サイトがSSLに対応しているかどうか?はチェックした方が良い。
図のように、本サイトではちゃんとSSLに対応しているので、通信は暗号化されている。
最近は見かけなくなって来たが、図のようにSSLに対応していないサイトは通信が暗号化されていないので、やろうと思えばハッキング(正確にはクラッキング)が可能である。実際にハッキングされるか?が問題なのではなく、サイトを運営している人間の意識が問題なのだ。
サイトを安全に運営し、個人情報を保護する気概のない人間や組織が運営しているようなサイトは、当然ながら近付かない方が良いに決まっている。みすみす自分の個人情報を漏洩させてしまう危険を犯すことになりかねないからだ。
その上で、どうやって自分の個人情報を守るセキュリティを担保するか?が問題になる。百歩譲ってメールアドレスが漏洩するぐらいは、まぁ、仕方がない。問題はパスワードだが、突破されないパスワードの要件とは、
- 英数字と記号を混ぜる
- 英字は大文字と小文字を混入させる
- 推察されにくい意味がない文字列にする(自分だけに意味がある場合でも良い)
- 長いパスワードにする
- パスワードの使い回しはしない
となる。
ハッキリ言って難しいやね!(;´∀`)
そこで最も手軽かつ確実なのが、パスワード管理ソフト(アプリ)を使う方法だ。
Have I Been Pwnedでも利用を勧めているし、個人的にもオススメなのが、図の「1Password」だ(画像をクリックするとサイトに飛びます)。しかも今なら(タイムリーにも)「COVID-19 対応: すべてのビジネスの在宅勤務をサポートするため、試用版の機能制限を一時的に廃止」とあり、試用版の機能制限が一時的に廃止されているので、大いに試してみるチャンスでもある。
図の通り、1Passwordは月額のサブスクリプション制で、個人で使う場合は2.99ドル(1ドル約108円としておよそ322円)かかる。その代わり、自分が使っているスマホやiPadといったタブレット、パソコンでのパスワード管理から開放される。
自分でパスワードとその管理方法を工夫し、Have I Been Pwnedで漏洩チェックを怠らず万全なのであれば、別に有料の1Passwordのお世話になる必要はない。しかし、その手間ヒマをかける労力が月300円程度で済むのか?は考えどころだろう。
なお、パスワード管理ソフトは有料・無料を問わず多種多様だ。本稿ではセキュリティの注意喚起が目的なので、1Passwordを含むパスワード管理ソフトの使い方までは説明しない。要望があるようなら、別途稿を改めて説明したい。
おわりに
私はTwitterやFacebookで好き勝手なことを言いっ放しで、少しでも批判されると烈火のごとく怒り狂い、稚拙な反論その他を繰り返すような人に、ITリテラシーがあるとは思ってない。そしてITリテラシーが無い人に、セキュリティリテラシーを望む方が無理だ。
現今の武漢肺炎(新型コロナウイルス)は支那がその発祥であり、ここまで世界的に被害が拡大したのであるから、支那は世界から激しく非難されて厳しく責任を追求されるべきだと思うが、それは後でゆっくりじっくりやれば良い。幸か不幸か、この未曾有の疫病災害を契機にオンライン授業やテレワークが注目され、実施すべき機運も高まっており、個人的にもIT化後進国の日本はやるべきだと考える。
しかし、小学校で英語やプログラミングの授業が必修となる日本の教育行政において、ネットのリテラシー教育が置き去りにされていないか?と危惧する。それに公私ともに今までITリテラシーが低い人をウンザリするほど見て来ているので、(業種にもよるが)日本企業がテレワークを導入するのは非常に難しいと考えている。
そもそも自分の個人情報すら守れないような人が、他人や同僚や会社または組織の重要な情報が守れるとは、とても思えない。それは政治や経済を他人任せにしておいて、しかも選挙にも行かないような日本人が、国を護れるのか?というレベルでダメだと考える。
ともあれ、今やクラウドを活用するのが当然の時代で、ネットであらゆる恩恵が受けられる時代になった。その中でセキュリティは基本中の基本だが、本稿でその基本の「き」が大丈夫なのか?と注意喚起が出来たならば幸いだ。
MZ-2000とPC-6601SRをこよなく愛する現役のSEにしてガチな松本零士ヲタク。14歳で『人間失格』の洗礼を受けたダザイストで18歳から毎年桜桃忌に参加する太宰治真理教信者の変態。愛車はトヨタJZX100マークⅡ2.5 グランデ レガリアとカワサキZX-4。
