自分のメールアドレスを検索して、パスワードが盗まれていないか確認しよう
自分の名前をググった経験、きっと誰にでもありますよね。「エゴサーチ」なんて言われている、あれです。単純に何が出てくるか確かめたかった、上司に見つかる前に恥ずかしい写真やブログ記事を消しておきたかったなど、理由はさまざまだと思います。その際、自分のSNSアカウントや、ローカル紙に掲載された記事、同姓同名の人の死亡記事など、予想通りの結果が出てくる分には何ら問題ありません。
でも、以前たまたま友人と情報漏えいについて話していた私は、ひょんなことから自分のiCloudのメールアドレスを検索することになりました。そして、極めてあやしいブログ記事を見つけてしまったんです。普通はオンラインに載せないような情報がたくさん並んでいる記事でした。具体的には、ユーザー名とパスワードです。
自分はセキュリティーを管理できていると思っているあなたは、ちょっと検索してみてください。私も、自分ではできているつもりでいましたが、あの日以来、もっときちんと個人情報を守らなければと意識するようになりました。それぐらい、衝撃的な経験だったのです。
たった1つのパスワードがセキュリティーの連鎖的破壊につながる
その検索で見つかったユーザー名とパスワードの組み合わせは、私が2015年にHBOのストリーミングサービスで使っていたものでした。そのサービスは現在は退会していましたが、ほかにも個人情報が流出しているのではないかと心配になりました。同時に、すでに役目を終えたと思っていたパスワードでセキュリティーを破壊されたことを恥ずかしいと思いました。
実はそのパスワード、HBOの契約以外にも使い回していたのです。オリジナルから若干の変更は加えていたものの、銀行口座、SNSアカウント、お試しでちょっと使ったサイトなど、たくさんの場所で使っていました。つまり、ブログに載っていたもの自体は使っていないアカウントだったにせよ、潜在的に被害者になりうる状態は続いていることを意味します。それが、私のデータセキュリティーの鎖における弱い輪となっていました。自分を守るには、もっとロバストなパスワードに置き換えなければなりません。
古いパスワードを手放す
学生時代から使い続けているパスワードの順番を入れ替えようと思っているあなたのために、はっきり言っておきましょう。それは間違いだと。また、いくつかのフレーズを組み合わせたパスワードもNGです。パスワードの作り方を、一から見直しましょう。何よりも、漏えいしたパスワードは速やかに手放してください。攻撃者から身を守るためには、少し変えただけのバージョンも、すべて手放しましょう。
頻繁に使うアカウントから順に、パスワード変更の必要性を考えてください。ここで、パスワードマーネジャーの出番です。パスワードマーネジャーは、安全なパスワードを覚えておいてくれる(作ってくれるものもあります)だけでなく、いま使っているパスワードの強さも判定してくれるのです。
パスワードマネジャーを入手する
パスワードマネジャーを使わないのは、自らトラブルを呼び寄せているようなもの。パスワードマネジャーを使えば、すべてのアカウントに強力なパスワードを生成してくれるだけでなく、ウェブブラウザに拡張機能として追加したり、スマートフォンでアプリを使ったりすることで、情報の安全を保ちつつ、どこにいても自分の個人情報にアクセスしやすくなります。
また、サイトごとのパスワードを覚えるためのルールや、モニターの裏にポストイットを貼るといった対策(やってはいけない対策ですが)も不要になります、私が使っているのは『1Password』(年間35ドル)ですが、『LastPass』(年間24ドル)や『KeePass』(無料)など、選択肢はたくさんあります。パスワード管理以外にも独自の機能があったりするので、いろいろリサーチしてみてください。
すべてのパスワードを一気に変える必要はありません。私はだいたい1日おきのペースで、1つか2つのパスワードを変えています。おかげであまり労力はかかりませんが、進みが遅いのは明らかです。時間があるなら、できるだけ短期間のうちにパスワード変更を終えてください。悲しい結果になる前に、安全を確保しましょう。
可能な限り二要素認証を
パスワードの変更を終えたら、二要素認証を導入してセキュリティーをもう一層増やしましょう。二要素認証といっても形式はいくつかあって、ログイン時にSMSで1回限りのコードが送られてきてそれを入力するもの、ログイン後に「Authy」や「Google Authenticator」などの二要素認証アプリで生成されたコードを入力するものなどがあります。どちらの方法も、たとえ誰かがあなたのログイン情報を入手したとしても、SMSやアプリにアクセスできないため、ログインすることはできません。
メールアカウント、金融系アカウント、SNSプロフィールのほか、クラウドストレージサービスやオンライン小売業者といった個人情報を保存しているサイトでは、二要素認証を有効にしてください。二要素認証を導入していないサイトを使う際はスパム用のメールアドレスを使うといいでしょう。
登録を取り消す
あなたのメールアドレスは、自分が思っているよりもずっと広く出回っています。登録しているメルマガの数々、お気に入りのブランドのディスカウントコード、3年前に買い物したショップのセールなど、あなたのアドレスは意外と知られているのです。すべてのサイトがあなたのアドレスを安全に管理しているとは限りません。
ただし、登録の取り消しや迷惑メールを減らすための手間は、サイトによってまちまちです。良心的なサイトなら、聖なる「登録解除」ボタンがあるでしょう。ただ、理想的とは言えない送信者の場合、解除ボタンを押すとさらに迷惑メールが増えることもあるので要注意です。
Image: Christiaan Colen/Flickr
Patrick Lucas Austin – Lifehacker US[原文]
(訳:堀込泰三)
元記事を読む
- ブーストマガジンをフォローする
- ブーストマガジンをフォローするFollow @_BoostMagazine_