ハッカーはいかにしてオンラインプライバシーを侵害するのか
テクノロジーの世界は常に進化しており、インターネットと私たちのかかわり方も進化を続けています。1990年代を振り返ると、懸念すべきなのは電子メールだけだったように思えます。その後ネットバンキングが始まり、今ではスマートフォンがつながり、Facebookを利用しています。生活の大部分がオンライン化されています。そして、常に追跡されているのです。閲覧履歴全体がISPに保存され、Facebookやもしかしたら他の広告主に追跡されています。使用しているIoT機器にさえ自分のことを報告されているかもしれません。ですから、ハッカーに攻撃される以前に、情報を非公開にすることはすでに大きな課題です。
ハッカーが手に入れられる情報とは
個人情報がどれだけインターネットで利用できるかご存知ですか。インターネット上にある情報のいくつかのタイプと、ハッカーが関心を持つ理由を見直してみましょう。
- PII - 個人を特定できる情報。これには氏名、住所、メールアドレス、SSN、税番号、生年月日、診療記録、学歴、雇用情報などがあります。このタイプのデータには、ハッカーがなりすまし犯罪を実行するのに利用できるものがたくさんあります。これにAmazonでの購入情報や、ネット証券会社で行った投資も含められるかもしれません。このような個人情報もすべて、ユーザーの他のオンラインアカウントを侵害するために利用される可能性があります。
- メール、SMS、インスタントメッセージはすべて、どこかのサーバーに保存されています。ビジネス上の機密文書、ラブレター、銀行口座の詳細など、公にしたくない情報がメールにたくさん含まれているかもしれません。また、ハッカーは個人の連絡先にも関心を持っています。それを手に入れられたら、その連絡先全員にフィッシングメールを送ることができるからです。
- 閲覧データには、Cookie、ISPログ、データを保存している可能性のあるブラウザプラグインが含まれます。このデータは広告主にとって有益で、ビッグデータが登場したことで認識している以上に有益かもしれません。
- インターネットを利用してリアルタイムでSkype通話を行い、ビデオ会議を行うことがあるでしょう。誰にも盗聴されていないと言い切れるでしょうか。
その詳細情報の一部が保存されていることに気付いてさえいないのかもしれません。あるいは、今購入したものや聴いていたものを友達に伝えるようにFacebookに求められたり、2週間前に調べたものの広告をロサンゼルス・タイムズ紙に表示されたりすることに煩わしさを感じているかもしれません。
ハッカーは常に手法を進化させています。たとえば、フィッシングは10年以上にわたり標準的な手法であり続け、信頼できそうに見えるなりすましサイトへの接続を求める偽メールや、コンピュータにマルウェアをインストールするリンクを含む偽メールを送信してきました。ところが現在は、ソーシャルメディアの偽リンクやハッキングされたソーシャルメディアアカウントも、プライバシーを侵害してデータを盗む方法として利用されています。
パブリックWi-Fiは素晴らしいものであり、そのおかげでスターバックスでも仕事ができますが、セキュリティ上、非常に脆弱でもあります。保護されていないホットスポットは、ハッカーがデバイスに侵入してデータを盗む新たな方法となっています。ハッカーがオンラインプライバシーに対する重大な脅威であることを考えた場合、それにどう対処したらよいでしょうか。
VPNを使ってハッカーから自分の身を守る
パブリックWi-Fiはアクセスに認証を必要としません。これはユーザーにとって素晴らしいことですが、ハッカーにとっても同じです。ハッカーにも認証が必要ないからです。ハッカーは中間者(MTM)攻撃を利用してデータを盗むことができます。場合によっては、「ハニーポット」Wi-Fiホットスポットを設定してデータを吸い上げることもできます。
ノートパソコンにWi-Fiが必要なら、携帯電話をWi-Fiホットスポットとして設定し、ノートパソコンを安全に接続できる携帯電話の4G接続を共有することをお勧めします。
さらに良いのは、インターネットへのプライベートゲートウェイを作る仮想プライベートネットワーク(VPN)を使用することです。
VPNがハッキングを防ぐ仕組み
インターネットトラフィックをリダイレクトしてIPアドレスを偽装し、追跡できないようにします。また、インターネット経由で送信する情報を暗号化し、それを傍受しようとしている人が読めないようにします。ISPにもできません。ですから、VPNはオンラインプライバシーを守る非常に優れた方法です。
VPNはオンラインプライバシーとセキュリティにとって優れているだけではなく、他にもいくつかの利点があります。Wi-Fiプロバイダによってブロックされている場合があるWebサイト、たとえばFacebookやTwitterなどの一部のサイトにアクセスできます。また、地理位置情報がブロックされているコンテンツにアクセスできるため、海外旅行先で、「海外」ユーザーをブロックする場合のある金融口座にアクセスしたいときに便利です。
VPNは無料で入手できますが、付帯条件がある場合があります。本当にオンラインプライバシーを保護したいなら、有料VPNを使用すべきでしょう。それだけの価値があります。
暗号化によるプライバシーの保護
暗号化を利用してオンラインプライバシーを保護することもお勧めです。実際は、ユーザーのデータを扱っている企業で暗号化を用いている場合がありますから、恐らくすでにある程度は利用しているのではないでしょうか。たとえば銀行は、多分SSL/TLSr証明書を使用してWebサイトに暗号化を適用しています。
ブラウザのアドレスバーの先頭に鍵マークが表示されていれば、ブラウザとサーバー間のリンクは暗号化されています。鍵マークなしのフォームに入力すると、ハッカーがWebサイトをホストするサーバーに悪意のあるプログラムを添付している可能性があり、通信が傍受されデータが盗まれる恐れがあります。SSL/TLSを使用しているフォームに記入する場合は、誰にも傍受されません。
WebサイトがSSL/TLSを使用しているかどうかを確認するもう1つの方法は、URLがhttp://ではなくhttps://で始まっているかどうかを見ることです。HTTPSはHTTPよりもはるかに安全なプロトコルです。ただし、暗号化は通信を保護するだけです。情報が企業のサーバーに保存されると、企業のネットワークへの攻撃に対しては脆弱になる可能性があります。
Skypeでの通話は、Skypeを100%利用する限り、完全に暗号化されることも知っておく価値があります。ただし、Skype通話で通常の電話番号にかけた場合、PSTN(通常の電話ネットワーク)経由のリンクは暗号化されません。iPhoneまたはAndroidスマートフォンを使用しており、PCやノートパソコンを使用していない場合は、「秘密の会話」を使ってFacebookでメッセージの暗号化を利用することもできます。
WhatsAppの人気が高まった理由の1つは、エンドツーエンドのメッセージングの暗号化です。他のアプリも暗号化を提供していますが、標準では有効化されていません。有効化する設定を探しましょう。有効化しないでよい理由などありません。
また、匿名化され暗号化されるブラウザネットワークのTorを使用して、閲覧履歴が追跡されないようにすることもできます。調査ジャーナリストはTorをよく利用し、敵対的な環境で働いているNGOも同様です。ただし、Torは完全に安全というわけではありません。マルウェアを配信したことが知られており、「中間者攻撃」に対しては依然として脆弱です。
暗号化は、オンラインでプライバシーを保護したい場合に非常に便利です。ただ、政府は必ずしも同意しません。中には、治安当局がデータにアクセスできるようにバックドアを含めることを技術プロバイダに強制しようとしている政府もあります。問題は当然、バックドアを開いたままにするとすかさずハッカーが侵入しようとすることです。
デジタルフットプリントを減らしてプライバシーを保護する
オンラインプライバシーを保護する方法を検討しているなら、デジタルフットプリントを減らす必要があるかどうかを考えることは価値があります。私たちはオンラインで写真を投稿し、ソーシャルメディアで今聞いた話やどこにいるかを友達に伝えることに慣れています。その情報がどこに保存されているのか、それが何に使われる可能性があるのかを常に考えているわけではありません。
オンラインプライバシーの保護のためには、一緒にいた人々のタグ付けなど、ソーシャルメディアや他のサイトが行っている提案の一部に耳を貸さない必要があるかもしれません。一部のソーシャルメディアの位置情報サービスをオフにする必要があるかもしれません。オンラインプレゼンスを削除すると、プライバシーの保護に非常に役立ちます。また、以下の方法で、Web上で閲覧できる個人情報の量と閲覧できる人を減らすこともお勧めです。:
- ソーシャルメディアを非公開にして、Facebookの投稿の閲覧をインターネット上のあらゆる人に許可するのではなく、友達だけに限定しましょう。
- たとえば「全員」から「友達の友達」に変更するなどして、友達リクエストが送られてくるユーザーを限定しましょう。
- ソーシャルメディアの位置情報、顔認識、「興味」ボタン、広告主をオフにしましょう。一部のソーシャルメディアプラットフォームでは、希望するかどうかに関係なく実際にオンラインでユーザーの位置情報が投稿されます。これはプライバシーには適しておらず、泥棒に「私は家を留守にしていますよ」と宣伝するようなもので、安全上の重大なリスクとなります。または、スマートフォンのGPSをオフにして、ジオタグをオフにすることもできます。
- 参加したくない古いメーリングリストの登録を解除しましょう。1回限りの買い物、保険見積もりの問い合わせなどに、予備のメールアドレスを使用することを検討しましょう。個人的なメールは友達や家族のために確保しておくようにします。
- 個人的習慣をモニタリングされるモノのインターネット(IoT)機器に注意しましょう。インターネットアカウントへのアクセスに利用されないように、パスワードで保護して別のゲストネットワークで実行してください。また、古い機器や使っていない機器はネットワークから削除しましょう。
- 自由に編集しましょう。たとえば、運転免許試験に合格したことを伝えたい場合は、試験結果の写真を投稿したくなるでしょうが、写真の住所、電話番号などの身元が分かる情報は上手に隠しましょう。
- 何が自動的に行われているかを確認しましょう。旅行計画をGoogleカレンダーに自動記録されたくない人もいます。
ソーシャルメディアが広告ビジネスとして始まったわけではないことを、思い出してください。個人ユーザーが、自分たちの生活を楽しくしてくれると思うサービスとして始まったのです。以上のヒントはどれも面倒な作業に思えるかもしれませんが、実行すればプライバシーを奪われることなく、楽しいサービスとしてのソーシャルメディアを取り戻せます。
ハッカー対策ソフトウェアでプライバシーを保護する
今は、オンラインプライバシーとセキュリティの保護に利用できるさまざまなソフトウェアがあります。ユーザーがWebサイトから追跡されないようにすることを目的としたものもあれば、ハッカーがPCにマルウェアをインストールできないようにするためのものもあります。Webブラウザの拡張機能として利用できるものや、改めてインストールが必要となるものもあります。もしかすると、これをハッカー対策ソフトウェアと呼ぶのは行き過ぎかもしれません。執拗なハッカーを阻止することはないかもしれませんが、このようなソフトウェアを利用すれば、ハッカーがコンピュータに侵入したりデータにアクセスしたりするのを非常に難しくします。
たとえば、ブラウザプラグインを使って、Webサイトから追跡されないようにすることができます。Facebookは、サイトにアクセスしていなくても、開いている限りユーザーを追跡し、閲覧履歴を収集して、的を絞った広告の配信に利用します。それは十分合法的な目的ですが、Facebookのデータ収集と共有慣行はしばしば非難されてきましたので、自分の身を守ることを検討すべきでしょう。
優れたウィルス対策ソフトやマルウェア対策ソフトを利用しましょう。キーロガーのトロイの木馬がPCにインストールされたら、オンラインプライバシーに別れを告げなければなりません。PCやスマートフォンを時々クリーンアップするのも良い考えです。ハッカーのプログラムに傍受されていないようにしましょう。
スマートフォンのデータを紛失したり盗まれたりしたときに備えて、そのデータを消去できるアプリをダウンロードするのもよいでしょう。Googleとデバイスを同期した場合も、リモートでデバイスからデータを削除できます。連絡先リストやバンキングアプリがハッカーの手に落ちないようにしてください。スマートフォンをワイプしてデータを完全に消去しましょう。
優れたパスワードマネージャーは厳密にはハッカー対策ソフトウェアではありませんが、非常に価値があります。異なるアカウントやネットワークに異なる強力なパスワードを使用することは、侵入のリスクを最小限に食い止めたい場合の基本的な予防策としてお勧めです。ただし、保護したいアカウントが複数ある場合は簡単なことではありません。パスワードマネージャーを使用すると、アカウントの安全を保つのに便利です。強力なパスワードで、パスワードマネージャー自体の安全を確保するようにしましょう。
こういった保護対策をすべて個別にインストールすることもできます。あるいは、必要な保護対策がすべて1つのパッケージに統合されている、カスペルスキーのTotal Securityもご利用いただけます。
プライバシーを保護する方法
オンラインプライバシーを保護するとは、使用しているデバイスとネットワークの安全を確保するということを意味します。優れたパスワードマネージャーを使用するなど、そのための方法はすでにいくつかご説明しました。ただ、ハッカーからプライバシーを守るために役立つヒントは以下のように他にもいくつかあります。
- アカウントで2要素認証を有効にしましょう。たとえば、PayPalを使用すると、取引ごとに確認のためのSMSメッセージを受信します。指紋などの生体認証マーカー、パターン、さらには物理的なキーフォブやドングルを使用した2つ目の確認手段を提供しているアカウントもあります。
- スマートフォンに非公式のアプリをダウンロードしないようにしましょう。Apple App StoreかGoogle Playを利用してください。
- スマートフォンのアプリに与えている権限に注意しましょう。文書作成アプリがカメラやマイク、位置情報、アプリ内購入の使用を求めたり、Googleアカウントへのアクセスを求めたりした場合は、質問して理由を調べてください。
- 不要な、または使わなくなったソフトウェアやアプリをアンインストールしましょう。
- デバイスの「管理者として実行」を無効にして、スマートフォンのroot化やジェイルブレイクは実行しないでください。そうすれば、ハッカーがプログラムの制御を獲得できても、スマートフォンの制御を得ることも設定を変更することもできず、恐らくスマートフォンやコンピュータにソフトウェアをインストールすることもできません。
- すべてのソフトウェアを最新の状態に保ちましょう。ハッカーはしつこく最新でないソフトウェアやオペレーティングシステムの新しい脆弱性を見つけ出します。
- オートフィルオプションを非アクティブにしましょう。時間の節約になる機能ですが、ユーザーに便利ということはハッカーにも便利です。自動入力情報はすべて、ブラウザのプロファイルフォルダなどの場所に保存する必要があります。ハッカーはなりすまし犯罪の実行やアカウントへのアクセスに必要なユーザー名、住所、電話番号、その他あらゆる情報を、まずはこのオプションに探しに行きます。
- 特に機密性の高いトランザクションがある場合はVPNを活用するか、プライベートブラウジングモードを利用しましょう。
- スマートフォンは小さいため、置き忘れがちです。泥棒のお気に入りの標的でもあります。前述のように、画面ロックを使い、紛失した場合にスマートフォンをワイプできるソフトウェアをインストールしてください。
- ルーターにはルーター用の安全で新しい名前とパスワードを設定しましょう。WPA認証を使用してパスワードを変更すると、誰かにルーターをハッキングされる可能性が低くなります。ではなぜユーザー名を変更するのでしょう。簡単なことです。ほとんどのユーザー名が、ルーターのタイプや実行しているネットワークを示すからです。これを別の名前(できれば自分の名前ではないもの)に変更すれば、ハッカーからその情報を奪うことにもなります。
- 忘れずにログアウトしましょう!アカウントを使い終わったら、ログアウトします。アカウントをバックグラウンドで実行したままにしておくと、重大なセキュリティ侵害につながります。幸い、ほとんどの銀行は一定時間が経過すると顧客をログアウトするようになりました。しかし、ユーザーのプライバシーに対する大きな脅威は銀行からではなく、ソーシャルメディアに由来しています。
以上のヒントは、ハッカーがネットワーク、アプリ、デバイスへの侵入に利用する小さなバックドアをすべてブロックするのに役立つはずです。デジタルフットプリントの低減、VPNや暗号化の利用などの取り組みと合わせれば、プライベートライフを希望どおりプライベートに保つことができます。
最後に、オンラインプライバシーの保護を大切にするのであれば、常にサイバーセキュリティに関する最新情報を入手するようにしましょう。新しい脅威は絶えず出現し、そういった脅威に対処する新しい方法もそれに応じて生まれていきます。コンピュータソフトウェアを更新するのと同様、ITセキュリティコミュニティに定期的に参加して新しい知識を仕入れ、Kaspersky.comで最新の記事をチェックしましょう。
関連リンク
ハッカーはいかにしてオンラインプライバシーを侵害するのか
Kaspersky
