サイバーセキュリティの脅威が身近になってきました。

最近、KADOKAWAがハッキングの標的となり、大きな話題となっています。今回は大企業がターゲットとなったことで注目を浴びていますが、デジタル時代においては、私たち一人一人が同様の脅威に直面していると考えたほうが安全です。

被害を受けているのは民間・個人にとどまりません。2016年にはバングラディシュ中央銀行がマルウェアに感染し、8,100万ドルの不正送金被害に遭いました。サイバー攻撃は国家レベルの機関にも及んでいるのです。

この記事では、私達がデジタル時代を安全に生きるために取れる基本的な対策を紹介していきます。簡単なステップから始めることで、あなたも自身を守ることができるのです。

ますます増えるハッキング被害の実態

まず最初に、ハッキング被害の実態を確認しておきましょう。

CYBER CRIME MAGAZINEによれば、ランザムウェアによる被害額は2015年に325 million ドルだったものが、2031年までに265 Billionまで増えるとのこと。

ランザムウェアの被害は、は2015年に325 million ドルだったものが、2031年までに265 Billionまで増える

出典;Global Ransomware Damage Costs Predicted To Exceed $265 Billion By 2031

複利での年間成長率に換算すると、約42%です。めちゃくちゃ増えていますね。

このような「成長市場」でもあり、ハッキング対策を行う企業群の株価をまとめたETFであるサイバーセキュリティETFは、2023年から上昇の一手となっています。

↑ サイバーセキュリティ特化型ETF(HACK) は上昇著しい

KADOKAWA社のハッキングも含め、世界的にこの手の被害が拡大していることは、誰の目にも明らかですね。

ハッキングは被害者のほうが非対称的に立場が弱い

さて筆者はGoogleアカウントを過去に乗っ取られた経験があります。詳しくは以下の記事を参照されてみてください。

Vol.26 1 Googleアカウントを乗っ取られた被害者が教える!今すぐできる3つの対策(2024/05/27)

では、実際に乗っ取られてしまうと、どのように物事が進むのかを振り返ってみます。

まず、各種アカウントに不審なログインがありましたとメールやショートメッセージが届き、ハッキングされたことに本人が気づきます。

自分の場合は、メインで使っているWindowsパソコンに入れてしまった実行ソフトが原因だとすぐに分かりましたので、まずそのコンピュータを初期化するべく行動を始めました。

必要なファイルのバックアップを取り、ディスクの完全初期化を実行します。この作業中にも、スマホのショートメッセージには、「不審なログイン」通知が続々と届きます。

次にバックアップ用のパソコンを出してきて起動します。

ところが、バックアップ用のパソコンはしばらく使っていないものでしたので、OSのアップデートを行い、ウィルス感染の有無を調べる作業が必要になります。

ようやくバックアップ用のパソコンでネットワークに接続できたのは、もはやハッキングから2時間ほどが経過した頃でした。

この間に、ハッキングに成功した犯人は、筆者のGoogleアカウントの中身を続々と書き換えていきます。以下、ハッキング発生から行われた行動の履歴です。

  1. 初動- Windowsデバイスから不正ログイン
  2. 初動~1分後 - 連続的なアカウント設定変更:
    • バックアップコード再生成
    • セキュリティ質問変更
    • 再設定用メールアドレス・電話番号削除
    • 2段階認証方法の変更(電話番号追加/削除、認証アプリ削除)
    • パスキーの追加/削除
  3. 1分後 - パスワード変更
  4. 1分後 - 予備のメールアドレス削除
  5. 3分後 - iPhone xxxから新規ログイン(バックアップコード使用)
  6. 3分後~8分後 - 複数回のバックアップコードによるログイン試行

筆者がバックアップ用のパソコンで動くことができるようになったのは、もはや犯人がアカウントを掌握しきった2時間後です。

もう完全に出遅れていますね。

ハッキングする側は、ハックした直後から設定の変更ができます。これに対して入られた側は、まずクリーンなコンピュータを準備するところからスタートする必要があります。

例えるなら、時速1500キロで領空侵犯してきたジェット機に自国のメイン機が無力化されてしまったようなものです。

対抗するため旧型のバックアップ戦闘機を格納庫から出してきても、離陸するまでに燃料を入れ、各種動作確認が必要です。ようやく離陸したころには、敵機は遥か彼方に飛び立って跡形もありません。

つまり、ハッキングされてしまった時点で対応が後手に回ることは確定的・・・ということですね。

私達が取れる対策~パスワード管理ソフトを管理して使う

では私達がハッキングから身をもまもるためにすべきことは、何でしょうか?すごく基本的なことばかりですが、簡単にリストしてみますね。

  1. 利用するサービスごとに、異なるメールアドレスとPasswordを設定する
  2. 2段階認証を設定する
  3. GoogleなどにPasswordを管理させない
  4. Passwordは使い回さず複雑なものを使う
  5. 不要なソフトウェアは削除する
  6. OS、アプリ、ブラウザは定期的にアップデートする
  7. 公式サイトから直接アクセスする

とくに1~4を見ていくと、最後はパスワードの管理ソフトを利用する必要が出てくることがわかります。

ただ、そのパスワード管理ソフトも、過去に漏洩を起こしていたりします

2022年8月にはLastPassにハッカーが侵入し、ソースコードを盗み出しました。同年12月、顧客データとともに、暗号化されたパスワードも流出しています。

それでも、LastPassを解錠するマスターパスワードを強靭なものに設定されていたaccountの解読は非常に困難だったと言われています。

結局、現時点でのベストプラクティスは、有料でも信頼のおけるパスワード管理ソフトを使うこと

また、その管理ソフト自体のマスターパスワードを強固なものに設定し、上記対策の1~4を実行することだと言えそうです。

今のところ、Bitwarden や 1Passwordでは重大なセキュリティ侵害は出ていないようですから、まずは無料で試せるツールを試してみることから始めてみても、よいかもしれません。

まとめ:

サイバーセキュリティの脅威は確かに増大していますが、私たち一人一人が適切な対策を取ることで、デジタル世界の安全性を、ある程度は担保することができます。

パスワード管理ソフトの利用、2段階認証の設定、定期的なソフトウェア更新など、小さな習慣の積み重ねが大きな防御になります。今日から一つずつ実践してみませんか?

自分自身と大切な情報を守ることは、決して難しくありません。一緒に、より安全なデジタルライフを築いていきましょう!

ココスタ

佐々木徹