December 08, 2016
ここ数日、Facebook 上で「友だちの再会」というポストをやたらと見かけるようになりました。
昔っぽい言い方をすれば、ある種の「チェーンメール」なのですが、過去を知ってか、現代における脅威を知ってか、皆さん無邪気にシェアしまくっています。
別に釣られることもなく、何ともおもわずに過ごしていましたが、この現象に警鐘を鳴らす興味深い記事がありました。
Your Facebook is a GOLD MINE for hackers | Darcy Sabatino
若干拡大解釈もあったりして、「んー?」とおもうところがありました (個人の感想です) が、ざっくり言うと「無邪気にやって拡散してるそれ、ハッカーに付け狙われてるかも知れないからな?」というお話です。
ちょっと同意する部分もあるので、皆さんに読みやすいように全文を和訳してみました。
昔っぽい言い方をすれば、ある種の「チェーンメール」なのですが、過去を知ってか、現代における脅威を知ってか、皆さん無邪気にシェアしまくっています。
別に釣られることもなく、何ともおもわずに過ごしていましたが、この現象に警鐘を鳴らす興味深い記事がありました。
Your Facebook is a GOLD MINE for hackers | Darcy Sabatino
若干拡大解釈もあったりして、「んー?」とおもうところがありました (個人の感想です) が、ざっくり言うと「無邪気にやって拡散してるそれ、ハッカーに付け狙われてるかも知れないからな?」というお話です。
ちょっと同意する部分もあるので、皆さんに読みやすいように全文を和訳してみました。
Facebook はハッカーにとっては金脈
時々、たくさんの Facebook 友だちがウォールの投稿をコピペして、懐かしい気持ちをシェアしあっていたりします。最新版はこちら:
※ ちなみに英語版原文はこちら。日本版は、なかなかヒドい直訳っぷりですね…。
The game is called "a reunion of friends". The idea is to see who reads a post when it does not include a photograph. If no one reads my wall, this should be a short experiment, but if you are reading this message, make a comment using a single word about how we met. Just a word, please, for example, a place, the name of the person who introduced us, etc. The game is dto do it with. *ONE WORD*. Then, copy this message on your wall and I will also leave you a word. Please, don't leave a word and then not bother copying... you will spoil the fun.
参加すると楽しいのかも知れませんけど、共有している情報には絶えず警戒するようにしましょう。
なんで?何かヤバいの?
これで何が起こるでしょう。
やりはじめた人が不純な動機だったか、単に面白いと思ったのかは関係ないです。
何が問題になるのか。Facebook で「友だちの再会」で検索してみてください。簡単にこのリンクから行けます。
「公開されている投稿」セクションまでスクロールして全ての検索結果を見てください。私が見たらこんな感じ (ちなみに私はこの人たちを誰一人知らなければフォローもしてません) でした。
この検索結果はさらに続き、大量のポストが見れました。
他にすべての結果を見る方法として、殆どのポストにつけられたハッシュタグをクリックする方法もあります: #AReunionOfFriends
※ このハッシュタグは英語版で、日本語バージョンはハッシュタグがないものが多いです
「で?みんな楽しんでるだけじゃね?」まぁ確かに (楽しくなければ皆やらないでしょ)
でも問題はここ。マーケッターとハッカーの 2 タイプのデータ収集家がいるのです。
マーケッターは自社製品を買わせるための教育や説得をするために、あなたのことをもっと知りたい。
ハッカーはあなたの貴重な個人情報を悪用するために、あなたのことをもっと知りたい。
ヤツらはこの情報で何が出来るの?
収穫したら、ヤツらはさらに、あなたの誕生日、配偶者の名前、ペットの名前、新婚旅行でどこに行ったか、(現在と過去の) 住所、電話番号、子どもの名前、その他見つけられる限りあなたを調べます。
全ての情報はテキストファイルに保存され、ものの数分で数百万のパスワードの組み合わせを試すパスワードクラッキングユーティリティによって処理されます。
「私のパスワードは複雑。だから絶対に推測できない」
多くの人がパスワードを作る方法はこんな感じ。まず友だちとかペットの名前のようなものからはじめる。それじゃ「Fido」という名前を使いましょうか。
次に、住所の番地などの 4 桁の数字などを混ぜ合わせます。番地が「4846」とします。でも、もっと巧妙に、逆転させたりして「6484」とかにします。
記号などが必要だったりします。なので末尾に「!」を追加します。
これでパスワード「Fido6484!」が考えつきました。
じゅうぶん複雑に見えるよって、えっマジか?
問題は、犬の名前と住所の番地が考えられないぐらい簡単にバレること。ハッカーはパスワードがわかるまですべての可能性をふるいにかけるプログラムに (あなたから収集した残り全ての無意味そうなデータの組み合わせ) 情報を与えることで、容易にこの情報を吐き出せます。
万全を期すためには、ヤツらは Facebook サーバあるいはその他の有効なサーバに直接パスワードを入力する必要はありません。ネットワークのパケットと、パスワードのハッシュ値 (パスワードが暗号化されたもの) を収集すれば、ハッシュを解読するのはいとも簡単で、これはサーバにパスワードを送信して「無効なパスワードです。パスワードを確認してください」という画面と何百万回やりとりするのと本質的には同じです。
「でもそんなに頑張って俺のアカウントをハックするのとか誰得よ?www」
この考えかたは本当に認識の問題なので、誰も責められません。私たちは何が起こっているのかわかりません。私はこのシナリオを、真夜中、薄暗い地下室で座っている一人のハッカーの目線で書きました。
現実は、こういった攻撃をしているのが人間であるとも限りません。人間が書いた、インターネットやソーシャルメディアをクロールして、あなたとその知人全員のデータを収集して関連付けたり、同様にネットワークを盗聴しパケットキャプチャしてパスワードのハッシュ値を収集するようなプログラムだったり。
あなたが公衆 wifi ネットワークに最後に接続したのはいつですか?今まさに繋いでる?あなたのネットワークパケットは同一ネットワーク上の全員から見ることが可能なのです。たしかに、あなたの Facebook アクティビティは TLS - https 暗号化プロトコルを利用することによって「保護」されてます。これはあなたのパスワードとアクティビティがよく知られている手法によって暗号化されていることを意味します。これは良い手法です。でも、パスワードだけについては良いのですが、あなたの個人情報をどうやってうまいこと保護しているのか。
誰が頑張ってんのよ?って話に戻します。 これが、暗いフードをかぶった男があなたをハックしようとしてたのなら、あなたが価値ある標的じゃないって考えるのは間違いないでしょう。 ほとんどの人が標的ではないのです。
でも、Cisco が作った「The Anatomy of An Attack (攻撃の解剖学)」というビデオを見てください。シンプルなソーシャルエンジニアリング戦術です。 このビデオは、パスワードのクラックについては言及せず、むしろ「保護された」ネットワークにランサムウェアを導入するために、人々の信頼を悪用しています。
自分を守るためにあなたが出来ること
私は、Facebook や Twitter を通じて、楽しいソーシャルのシェアに参加し、関係を維持して楽しむことが大好きです。今現在出来ても、10 年前には出来なかったことなわけで、本当に素晴しいことです。
良いニュースは、あなた自身を安全に保つことが、やたらと難しいというわけではないということ。ただ、それには警戒が必要です。あなたが、難易度の高い標的となるため、その手助けに、いくつかヒントを紹介しましょう。
1. 良いパスワード管理アプリケーションを使う
私は 1Password を使ってます。他にも同様に LastPass などもありますが、私は 2012 年から 1Password を使ってて、ホントに素晴しいです。
良いパスワード管理アプリのポイントは、パスワードをスプレッドシートやどこかしらに書き留めておくよりも安全であること。それに、信じられないぐらい強力なパスワードを簡単に生成してくれます。アプリにアクセスしてデータベースを復号化するためには 1 つのパスワードだけ覚えておけば良いという利点があります。彼らのサーバには何も保存されていないので、1Password のサーバに頼ることなく私のパスワードを安全に保ってくれるので、私は 1Password を愛しています。
2. あなたとは何の関係もない、完全にランダムなパスワードを使う
上記で私が言った「Fido6484!」は使わないでください。結局、自動化プログラムはあなたの情報を十分に収集して「Fido」「4846」「!」のすべての組み合わせを完璧な順序に並べ替えることが出来ます。「Fido6484!」は「fiDo6484!」「F6i4!d8o4」と同様に脆弱です。可能な全組み合わせから大量のパスワードを生成する能力があるからです。もしあなたが「Fido6484!」のようなパスワードを使っているなら、あなたは同様に「123456Seven」とかも使うかも知れません (使わないで)
「mrL3LQvoTnruys9QYfjCwJR」とか「concept-ewer-wooer-confound」のようなものを使いましょう。どちらも、この段落を書きながら 1Password によって無作為に生成されたものです。
3. 同じパスワードは絶対に複数回使わない
私の 1Password データベースには約 600 のログイン情報があります。そのうちどれ一つたりとも同じではありません。いやまぁ、そのうちの少数は…今頑張ってるところです。でも 90% 以上は実際に私の頭からは出てこない強固なパスワードです。
現実に、1Password のように良いパスワード管理アプリを使っている限り、覚えておく必要があるパスワードは実際にごく少数だけです。実際に私は、コンピューターのパスワードと 1Password のパスワードの 2 つだけを覚える必要があります。これで、私の全てのパスワードデータベースにアクセスすることが出来ます。
全てのパスワードを違うものにする他の利点として、最終的にウェブサイトがハックされればその会社はデータベースを失なってしまうことにあります。メールの履歴から「data breach」「security notice」あるいは「compromise」という単語を検索してみてください。LinkedIn からの、以下のメールに類似したメールが見つかるとおもいます。
4. 定期的にパスワードを変更する
数ヶ月ごとにパスワードを変更するのは良い習慣です。これは比較的強固なパスワードを持っていたとしても、ハッカーが (LinkedIn とか Sony などから) データベースを盗んでハッシュクラッカーに利用することが出来るためです。ハッシュを解読するためには、ハッシュのクラック専用の大量のリソースと FPGA の集合を保有する国 (ロシア?中国?・・・あ、ゲフンゲフン、いやなんでもない) でもない限りは、信じられないほど膨大な CPU パワーと時間がかかり、通常では数ヶ月、あるいは数年は要します。彼らが暗号化されたハッシュデータベースのクラックをするより先にパスワードを変更してしまえば、あなたは安全です。
5. 公共の wifi ネットワークは避ける (ハアァァァッッ?!?!) [わかった…注意して VPN を使いましょう…]
無料で使える。素晴しい。ヤツらがいない場合を除けば。つまりヤツらが同じ wifi ネットワークにいてパケットをキャプチャしてそれを後で処理するのなら、素晴しくはないです。
もっと言うと、攻撃者が公衆ネットワークのフリをして中間者攻撃をするのは実に簡単です。これはあなたが、お気に入りのカフェの天井からぶらさがってる正規の wifi ホットスポットのかわりに攻撃者の wifi ホットスポットにうっかり接続してしまった時に起こります。この状況では、あなたの全ての通信が攻撃者の装置を通過していて、後で分析をするために保存されます。
3G/LTE 回線を使うか、信頼できる VPN サービスを使いましょう。
新しい、健全な考えは? (被害妄想になることではない)
さて、今あなたは、アクティビティとパスワードを守るための、いくかのヒントと、希望的な新しい考えを得ました。ポイントは、いかにあなたの情報を保護し、いかにパスワードをハックされないように強固に保つかをさらにより注意深く考えること。時に人々はハックされ、メールアカウントはソーシャルエンジニアリングで友人や家族にリンクをクリックさせる SPAM をバラまくために使われます。時に人々はハックされ、個人情報窃盗の被害者になります。
でも、正しい考え方によって、ソーシャルメディアやユビキタス wifi のような、私たちが持つ素敵な最新テクノロジーを楽しむことが出来るのです。
被害妄想におちいらないで。慎重になるだけでいいのです。
原文: Your Your Facebook is a GOLD MINE for hackers | Darcy Sabatino
↑