手品師が使うあらゆる道具のなかで最も大切なタネは、ミスディレクションという概念です。片方の手に気を取られているうちに、もう一方の手が仕掛けを取り出します。最近、ユーザー名や電子メールアドレス、パスワードなどのログオンデータが各種の Web サイトから盗み出されるという被害が増えています。最も気にかかるのはログオンデータの漏えいですが、最近のハッカーは現代の手品師です。本当のリスクを理解すれば、問題はもっと深刻であることがわかるでしょう。
パスワードのセキュリティには最優先で警戒すべきです。パスワードに関する問題の報告を受けたら、該当するサイトではただちにパスワードを変更してください。各社の名誉のために付け加えておくと、最近パスワード漏えいの被害に遭った各企業の対応は適切だったと言えます。顧客への通知も、パスワードのリセットに必要な手順の実施も行き届いており、アカウントをロックしたうえでユーザーにパスワードの変更を推奨しました。そうした努力をしてもなお、考慮しなければならない点はまだまだ山積みです。
複数の Web サイトで同じログオン名やメールアドレスを使うのも、同じパスワードを使い回すのも珍しいことではありません。サイト間で同じログオン情報を使うと、1 つのサイトでログオン名とパスワードの組み合わせが盗まれた場合に、他のサイトでも攻撃に対して脆弱になります。
被害はそれにとどまりません。ログオンデータを盗み取った攻撃者の中には、自身の利益のために利用するだけでなく、パスワードとパスワードハッシュを意のままに平文でオンラインに公開するものもいます。他の攻撃者は、公共のフォーラムや、アップロードされた torrent サイトでそれを探せるようになります。言ってみれば、ミスディレクションを演じているのが片方の手だけではなく、何本もあるようなものです。
何よりもまず、情報が漏えいしたサイトで使っているパスワードを変更し、パスワードの強度も確かめてください。また、サイトごとに違うパスワードを使うことも必要ですが、それは確かに難しいかもしれません。違うパスワードをすべて覚えておくことは不可能だと思いますので、パスワードについてお勧めの工夫をご紹介しましょう。ブラウザにパスワードを保存することは避け、お使いのすべてのデバイスから利用できる、保護された安全な場所にパスワードを保管するようにします。これを実行できる製品がシマンテックから提供されています。それがノートン ID セーフ(英語)です。2012 年 10 月 1 日までにダウンロードしていただくと、無期限に無料でお使いいただくことができます。機能制限はいっさいありません。もちろん対策方法はこれだけではなく、ほかにも優秀なものが数多くあります。自身に合った最適な方法を選択してください。
なにしろ相手はハッカーです。両方の手が何をするか、しっかり見守っていなければなりません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。