3/11/2017

ドキシングに対する防御

シュナイアーのブログより

10年前、私はエフェメラルな(ephemeral)会話の死について書いた。コンピュータが一般的になるにつれ、いくつかの意図しない変化も起きた。コンピュータ以前は、我々が言った事は言った瞬間に消えてしまった。対面の会話も、電話による会話も通常は記録されることはなかった。恒久的な会話は、何か違って特別なものだった。我々はそれを往復書簡(correspondence)と呼んだ。

インターネットがこれを変えた。我々は今やFacebookやInstagram上でテキストメッセージやメールでおしゃべりをする。友人、恋人、同僚、従業員との会話はすべて電子的な痕跡が残る。そして、我々は頭ではこのことを分かっているが、本当には習得していない。我々はまだ会話をエフェメラルなものと考え、記録されていることを忘れ、我々が言いたいのはやりとりが永久に残るということだ。

心理的操作のために大企業が使う我々のデータ -- 我々はこれを広告と呼んでいる -- はよく知られている。法執行機関や国によっては政府が社会統制のために利用する。ここ1年のニュースでは、このデータがハッカーに対して如何に脆弱であるか、ハッキング、コピー、オンラインでの公開による影響の証明だった。我々はこれをドキシング(doxing)と呼んでいる(いわゆる"晒し"である)。

ドクシングは新しいことではないが、より一般的になっている。これは企業、法律事務所、個人、NSA、そして丁度今週あったCIAに対して実行されたものだ。大部分は嫌がらせで、内部告発ではなく、すぐに変更されることはない。あなたのコンピュータやクラウドにあるデータはハッキングやオンライン公開に脆弱で、将来に渡ってもそれが続くだろう。あなたの有名さやデータの詳細によっては、あなたはプライベートを守るために新たな戦略が必要になるかも知れない。

ハッカーがあなたのメールや個人文書を得るには2つの基本的な方法がある。一つの方法は、あなたのパスワードを推測することだ。それが2014年にハッカーがiCloudからセレブの個人的な写真を手に入れた方法である。

この攻撃から身を守る方法はかなり明らかである。まず、推測できるパスワードを選択しないこと。これは単に"password1"や"qwerty"を使わないだけではない(簡単に記憶できるパスワードは推測可能だ)。私のアドバイスは、XKCD方式シュナイアー方式のいずれかを利用して覚えなければならないパスワードを生成するか、パスワードマネージャの中に保存される大きなランダム・パスワードを他の全てで使うことである。

次に、Googleの2段階認証のようにできる場所では2段階認証を有効にする。これはパスワードを入力するのに加えて、携帯電話に送られる一回限りのコードをタイプするなど、もう一段階を加える。3つ目に、あなたが大事だと考えるサイトでは、同じパスワードを使わないことだ。

あなたが何もやっていなくても、ハッカーは秘密の質問機能を悪用してパスワードをリセットすることで、アカウントにアクセスする。それが、2008年にサラ・ペイリンの電子メールのアカウントがハッキングされた方法であった。秘密の質問が持つ問題は、それらがそれほど秘密ではなく、ランダムでもないということである。私のアドバイスは、それらの機能の利用を拒否することだ。ランダムにキーボードをタイプするか、本当にランダムな答えを選択し、パスワードマネージャに保存することだ。

最後に、フィッシング攻撃にも注意を払わなければならない。ハッカーは予期されるページのように見えるが実際はそうではないWebページにあなたを誘導する誘惑的なリンク付きのメールを送りつけてくる。このような事は2段階認証をバイパスでき、ジョン・ポデスタとコリン・パウエルを騙した方法であることは間違いない。

ハッカーがあなたの個人的なものを手に入れるもう一つの方法は、情報が保存されているコンピュータに侵入することだ。これは、ロシアが民主党全国委員会のネットワークに侵入した方法と、一匹狼のハッカーがパナマの法律事務所モサック・フォンセカに侵入した方法である。中国が人権活動家のメールアカウントにアクセスするため、2010年にGoogleをハッキングした時のように、時には個人が標的になる。また、2014年にソニーの数千人の従業員のメールが北朝鮮によって公開された時のように、時にはネットワーク全体が標的になる中で、偶然にも個人が犠牲者になることがある。

あなたがすることを誰も気にしないため、自分のことを守るのは難しい。電子メールがサービスプロバイダに保存されている場合、重要なのはそのネットワークやそのプロバイダのセキュリティである。ほとんどのユーザはシステムのその部分をコントロールできない。自分を守る本当の唯一の方法は、誰かがアクセスできるようなクラウドにデータを置かないことである。これは難しい。我々の電子メールは全てどこかのサーバに保存されており、すぐに検索できる。しかし、その便利さがリスクを伴う。古いメールを削除するか、少なくともそれをダウンロードしてポータブルなハードドライブ上にオフラインで保存するかを考えてほしい。実際、データをオフラインで保存することが、ハッキングや漏洩から守るためのできる最善の方法の一つである。コンピュータ上にある場合、サービスプロバイダのセキュリティではなく、オペレーティングシステムとネットワークのセキュリティが重要である。

あなた自身のコンピュータ上のファイルの場合はこれを考慮してほしい。オフラインに移動できるものが多ければ多いほど、より安全になるだろう。

どんな保管方法だろうとメールは脆弱である。あなたのやり取りが公になるのが心配なら、代わりにSignal、WhatsAppあるいはOff-the-Record Messagingのような暗号化されているチャットプログラムを考えてほしい。デフォルトで全てを保存しないコミュニケーションシステムの利用を考えてほしい。

もちろん、これのどれも完璧ではない。ポータブルなハードドライブはコンピュータに接続すると脆弱になる。インターネットに接続されていないコンピュータ上の空きスペースに置いて、データにアクセスする方法がある。あなたが削除した通信やデータファイルは、あなたが使用する様々なクラウドプロバイダのどこかのバックアップシステムにまだ存在する可能性がある。そして、あなたが会話している相手と共に保存されたあなたの会話のコピーが常にどこかにあるといつでも思い出してほしい。しかし、これらの警告にしても、これらの手段で大きく改善されるだろう。

機密性が本当に重要な場合、まだエフェメラルな通信システムに戻ってほしい。電話をして話をしてほしい。直接会ってほしい。そんな時代が来ているが、全てが記録され、全てが保存される世界にまだ住んでいるわけではない。できる限り、最後となるエフェメラルな会話の名残を味わってほしい。

このエッセーはワシントン・ポストに最初に掲載された