2016年は文化的、政治的に「厄年」と広く捉えられたことは否定できない。しかし、セキュリティの世界では、2016年はどうでしょうか。リーク、妥協、監視の増加から何を学ぶことができるか？

リーク、ポストリーク、ポストリーク

ウェブサイトのハッキングやデータ漏洩は、何年も前から私たちのオンライン生活の定番となっていますが、2016年は誰もが注意を払わざるを得ない年でした。クラウドストレージのDropboxやプロフェッショナル・ソーシャルネットワークのLinkedInなど、多くの犠牲者が出た。

Dropboxのハッキングでは、6800万件のアカウントが流出し、パスワードの半分しか安全に暗号化されていませんでした。 LinkedInはそれを上回る1億1700万件、つまり当時のユーザー総数の73%の認証情報を失うことに成功したのです。この攻撃は5月に明るみに出たが、マイクロソフトはその1ヶ月足らず後に262億ドルでリンクトインを買収した。リンクトインの悪い年が続き、同社のオンライン学習サイトLyndaも脅威にさらされているようだ。

Spotifyは4月に謎の、そして未だに説明のつかない流出事件に見舞われ、パスツール・ビンでは数百のアカウントが危険にさらされました。この注目の人気ゲーム「○○」の次は、会社そのものではなく、「○○」だった。それどころか、雷電ファンサイトのライフボートが攻撃され、700万以上のアカウントとサイトのセキュリティの低さが露呈したのです。

DropboxとLinkedInのデータのほとんどは、2012年に発生した攻撃によるものだと思われます。この間、両社ともセキュリティ対策は大幅に改善されました。しかし、個人情報がネット上に流出した数百万人のユーザーにとっては、何の慰めにもならない。

彼らだけではありません

イギリスのインターネットプロバイダーTalkTalkは、17年前の動画共有サイトDayyStandに攻撃され、8520万人のユーザー名とメールアドレスを失い、サンフランシスコの交通機関は100ビットコイン（8万ドル）で身代金請求された。

昨年のAshley Madisonの流出事件は、史上最悪の***流出事件と広く言われています。特にリリース・プリファレンスは、強要や評判を落とすための道具として利用され、大きなダメージを受けた。ハッカーはユーザーを悪用する便利な方法を見つけ、より多くの***を攻撃し、BrazersとAdultFriendFinderのリークにつながったのです。

これらの情報漏えいは、攻撃者がアカウント内のデータにアクセスした場合、それ自体が大きな被害をもたらすものばかりです。もちろん、多くの人が複数のサイトでログイン情報を再利用していることも、問題を複雑にしています。これは、ハッキングのように見えるが、TeamViewerやGmailのような知名度の高いサイトではそうではない、という結末になる。

それは誰にでも起こること

皮肉なことに、TwitterのCEOであるjackdorseyのTwitterアカウントは、OurMineグループによってハッキングされた。このグループは、Facebook CEOのmarkzuckerbergのTwitterとPinterestのアカウントも誹謗中傷することに成功しました。コンテンツではなく、GoogleのSundar Pichai、YouTuberのTravis Kalanick、SpotifyのDaniel Ekなど他のハイテクCEOをターゲットにしました。 笑った後は、これらの高飛車なハイテクCEOが私たちと同じようにセキュリティのミスを犯しているという満足感を得ることができます。

パスワードマネージャーを使い始めるのがベストなアドバイスです。LastPassとDashlaneの製品が最も有名ですが、オープンソースの代替製品も多くあります。パスワードの保護が完了したら、さらなるセキュリティとして2ファクタ認証を有効にします。

ヤフーの日々は年々悪化している

情報漏えいの話題の一方で、ヤフーは衝撃的なほど悪い年だった。苦境にあるインターネット企業の再建に失敗したマリッサ・メイヤーは、ついに決断を下したのだ**。Verizonが買収先を見つけた後、Yahooは2年前に5億件のアカウントが流出したことを認め、自社の販売機会に打撃を与えた。そして、NSAがあなたのアカウントに自由にアクセスできるようにしたのです。

5億のアカウントと**スパイ行為**は、十分に衝撃的ではありませんでしたが、Yahooはさらに10億のアカウントが侵害されたと報告しています。Go big or go home(大きくなるか、家に帰るか)でしょ？Yahooメールから移行する時期が来たと思われる方は、ProtonMailなどの安全な代替手段をご利用ください。

マルウェアにハイジャックされる

インターネットに接続するようになってから、ウイルスやマルウェアは世界中のコンピューターユーザーの頭を悩ませてきました。幸いなことに、企業はセキュリティの脆弱性を発見し、修正する能力が向上しているため、どのような攻撃であってもその影響は非常に小さいのです。ハッカーは、Androidのような比較的脆弱なモバイルOSに目をつけており、決して無視できないシステムとなっています。

今年に入ってから、Android端末に2つの大きな脆弱性が発見されました。Android端末に広く採用されているクアルコム社（Quadroot）のチップセットに、今年の夏、脆弱性が発見されました。この脆弱性は、4つの脆弱性のうち1つを悪用し、端末のルートアクセスを可能にするものでした。セキュリティパッチはリリースされているものの、システムアップデートのタイムリーなリリースは芳しくなく、多くのデバイスが脆弱性を抱えたままです。

2つ目の目的は、お客様の端末にGooliganというマルウェアをインストールすることで、端末のルート権限を取得することです。これは、第三者のマーケットプレイスで見つけた悪意のあるリンクや悪意のあるアプリケーションを介して行われる可能性があります。この脆弱性は、Marshmallow 6.0より前の古いバージョンのAndroidにのみ影響します。これは、現在GoogleのOSを搭載している全デバイスの約75%に相当しますが。

ランサムウェアの台頭

マルウェアの中で最も問題となるのは、間違いなくランサムウェアです。この年、この信じられないほど悪質なマルウェアの発生率は前例のないレベルにまで上昇しました。ランサムウェアは、端末の機能をロックし、ファイルやデータまで乗っ取るソフトウェアです。画面上にマシンのロックを解除し、ソフトウェアを削除するために支払いを促すメッセージが表示されます。支払っても、ハッカーはカードに不正に課金するだけで、マルウェアを除去するための措置をとらないことがよくあります。

また、攻撃者の配信戦略もより巧妙になっています。悪名高いRock Ransomwareの新たな亜種は、いかなるソフトウェアのインストールにもお客様の同意を必要としません。その代わり、JavaScriptを使用して、マルウェアに感染する埋め込みファイルをダウンロードし、実行します。先に紹介したサンフランシスコの交通機関のハッキングは、身代金を支払うまで通勤者が無料で移動できるようにするランサムウェアの一種であった。ハッカーがランサムウェアを使って都市や交通機関などのインフラを人質に取り、金銭的利益を得るという傾向は、2017年も続くと考えられます。

あなたのプライバシーがさらに侵害されました

デジタルの世界では、多くの個人情報を残していることは周知の事実です。その中には、私たちがソーシャルメディアに投稿することを選択した情報もあれば、私たちが入力しなくてもバックグラウンドで収集されている情報もあります。

最も有名なデータマイニング業者はFacebookである。このソーシャルメディアの巨人は、あなたに関する情報を得るためのさまざまな方法を持っている。そして、それを自社の製品に使ったり、**第三者に渡したりする。あなたのデータをウェブ上で公開しているのは彼らだけではありません。フィットネストラッカーでさえ、非倫理的な理由で利用されているのですから。

フィットネス・トラッカー、ウェアラブル・テクノロジー、健康アプリは、広告主や保険会社が喜ぶ有益なデータを豊富に生み出します。世界の多くの国では、医療情報のプライバシーは厳重に保護されています。しかし、テクノロジー市場は規制を上回っているため、プライベートデータと呼ばれるものが必ずしもそのままでいるとは限りません。

ポケモンクラッシュ

夏を通じて、拡張現実ゲーム「ポケモンGO」は、リリース後の1週間で1,000万ダウンロードを超える驚きのヒットとなりました。しかし、ゲーム発売後数日間は、ゲームに必要なアクセス権のレベルについて大論争が繰り広げられました。iOSでゲームにサインインすると、Googleアカウントへの「フルアクセス」を開発者に強制されます。この特権は、実際にはGoogle自身のアプリにのみ与えられているものです。幸いなことに、これはナイアンティック社が実装したログインの仕組みに誤りがあったことが原因です。

この議論は、少なくとも、ユーザーが個人情報を渡すことの意味を理解し始めていることを示しています。しかし、幸いなことに、AndroidとiOSの両方が、あなたのプライバシーを保護するために設定を調整する方法があります。嬉しいことに、Raymondに送り返すものを最小限にする方法があります。

ビッグブラザーの台頭

デジタル監視は新しい概念ではなく、中国が10年以上前から行っていることです。2013年のスノーデンのリークによって、世界中の情報機関のステルスネットワークが私たちの一挙手一投足を追跡していることを知りました。国民の怒りが高まるにつれ、各国**は監視戦術を後退させ、最小限に抑えることが可能になっているようだ。

今年は、その逆であることを学びました。世界中で、国や情報機関は監視を強化し、多くの場合、その行為を正当化しようとしている。これには、今、悪名高い英国のスヌーピー**も含まれています。は、11月に可決され、ISPにネットワーク上のすべての活動のログを最長1年間保存することを強制しています。この情報は、さまざまな機関間で共有することができます。理由

同様の法律は、***局によって行われる驚くほど広範な監視を正当化するものと期待された。残念ながら、こうしたプライバシー侵害の手法に対する国民の反対は、「○○○○」の名の下に崩壊しつつある。悲しいことに、ソーシャルメディアはこのシナリオを支持し、過激派や○○○○にメッセージを広めるプラットフォームを与える一方で、これらの企業は守勢に回って待ち伏せして戦っているのです。

豊富なデータベース

Facebook、Twitter、Microsoft、YouTubeが協力して、テロ関連コンテンツのデータベースを作成し、簡単に削除できるようにするとのことです。しかし、このデータベースは、別の監視ツールになる可能性がある。これは、Twitterの潜在的な検閲組織である「Trust&Safety Council」とうまく連動しています。

また、FBIはNext Generation Identification（NGI）と呼ばれる友好的な監視データベースを開発しました。このシステムは、「バイオメトリクスと犯罪歴情報の世界最大かつ最も効率的な電子リポジトリ」となり、バイオメトリクスが結局は本人確認の未来にはならないかもしれないという議論に、さらなる力を与えることになる。ただ、**意図的にスパイしているわけではありませんよ。私立探偵やアマチュア探偵は、インターネットを通じて個人を追跡する方法を開発しています。

見逃したかもしれませんが、アメリカは今年選挙があります。政党も潜在的な有権者の情報を収集するための新しい方法を模索している。心配なのは、警察署が物議を醸すソフトウェア「Beware」を使い始めたことだ。その目的は、ソーシャルメディアのアカウントに基づいて「脅威のスコア」を与えることです。このようなことは奇妙に聞こえるので、ソーシャルメディアで共有する内容には注意を払う必要があります。

幸せになる理由

そんな激動の一年を振り返ると、私たちの身の回りは、**やハッカーによって個人情報が公開され、バラバラになっている印象を受けるかもしれません。

しかし、私たち全員の状況を改善しようとする企業も数多く存在します。Mozillaのマニフェストでは、インターネットのセキュリティとアクセシビリティを守るための10原則を掲げています。このため、最近、iOS用のプライバシーブラウザであるFirefoxFocusをリリースしました。

インターネットのバックボーンを提供する技術も、より良い方向に変化しています。SSL（Secure Sockets Layer）に代わり、TLS（Transport Layer Security）が徐々に導入され、お客様とWebサイト間の安全な接続を実現しています。HTTPSの100％普及を目指す動きもある。セキュリティ企業のシマンテック社は、ウェブサイト証明書と有償のアドオンを無償で提供しています。それから、公益社団法人ISRGが運営する「Let's Encrypt」も、無料で証明書を提供しています。

ビットコインが今後どのような役割を果たすかは不明ですが、ブロックチェーンは私たちの世界をより安全な場所にしてくれるでしょう。電子投票を実現する可能性がある。ブロックチェーンを使ってコンテンツクリエイターをコントロールしようという動きが主流に近づいています。従来の銀行業務をより安全なものにするかもしれません。

プライバシーを管理する

世界中の監視プログラムから浮かび上がるオーウェル的なテーマは、不気味なものである。幸いなことに、インターネットがプライバシーのブラックホールになるのを防ぐために、あなたの利益を守るために戦っている組織がたくさんあるのです。

一部のコメンテーターが言うのとは逆に、暗号化はセキュリティを確保するための鍵なのです。FacebookのWhatsAppメッセージングサービスでは、エンドツーエンドの暗号化を有効にすることも可能です。ISPの不当な注意から自分を守りたいのであれば、ログレスVPNに切り替えることもできます。

2017年、安全性を高める

他のアカウントがハッキングされたという話はもう十分聞いたと思われるかもしれません。しかし、安全を確保するためには、セキュリティ疲れを克服することが重要です。プライバシーを守るためにできることのひとつは、意図的にインターネットに投稿する内容を変えることです。また、子どもたちがネットの世界を最大限に活用できるように、子どもを守るための方法もたくさんあります。

新年を迎えるにあたり、年に一度のセキュリティチェックを行い、少しでも安全を確保することをお勧めします。そして、ウェブサイトhaveibeenpwendに登録し、アカウントが侵害された場合のアラートを受け取るなどの予防策を講じること。

2016年を振り返っていかがですか？山ほどあるハッキング攻撃の影響を受けたのでしょうか？それとも、ランサムウェアにやられたのでしょうか？以下のコメントで教えてください！そして、安全な2017年をお過ごしください。

画像引用元：MyLifePhotoShutterstock.comサイト