マーク・ザッカーバーグ氏のハッキング被害から得られる教訓

子供の頃は、あこがれの人は無敵に思えました。5歳の子供にとって、スーパーマンが完璧じゃないなんて考えられないでしょう? しかし大人になると、どんなに素晴らしい人も結局同じ人間だということに気が付くのです。テクノロジー業界の大物を尊敬する現代の若者も同じです。Facebook創設者兼CEOであるマーク・ザッカーバーグが先日、ハッキングの被害に遭いました。これによって、オンライン セキュリティの問題は誰にでも起こり得ることが証明されました。

では事実関係の確認から始めましょう。過去1週間に、ザッカーバーグのソーシャル メディア アカウントが多数ハイジャックされました(英語)。OurMine Teamと呼ばれる犯罪グループがFacebook CEOのTwitter、Pinterest、LinkedInプロフィールを乗っ取りました。InstagramとFacebookのアカウントには影響がありませんでしたが、サイバー犯罪者は他のプラットフォームでハッキングしたアカウントを使用して、偽のコメントを投稿したのです。

表面的には、この出来事には特におかしな点はありません。マーク・ザッカーバーグほど有名な人であれば、サイバー犯罪者に狙われても不思議はないからです。先週も、歌手のKaty PerryのTwitterアカウントが悪意のあるハッカーによって不正アクセスされた(英語)ばかりでした。事実、有名人は現在、デジタル時代の常時接続環境でのオンラインセキュリティを強化するため、積極的にサイバーセキュリティの専門家を雇おうとしています。

ただし、この出来事が他とは異なる点が1つあります。犯人側は、ザッカーバーグの人的ミスが今回の侵害を引き起こしたと主張しているのです。OurMine Teamは、ツイート(英語)で次のようにコメントしています。“Hey @finkd [ザッカーバーグのTwitterハンドルネーム], you were in LinkedIn Database with the password ‘dadada’!(LinkedIn Databaseで‘dadada’というパスワードを使っていただろう!)”

これは2012年に発生したLinkedInデータ侵害(英語)(何度も繰り返し発生しており、最近もまだ発生している)のことを指しています。おそらくザッカーバーグの認証情報はこの攻撃で漏えいしたものと思われます。サイバー犯罪者達は、データを見ていたら、彼のLinkedInプロフィールのパスワードを発見したと主張しています。そしてそれを他のソーシャルメディアアカウントにも使ってみたら、侵入できたというのです。つまり、ザッカーバーグ氏は、簡単なパスワードは避け、同じパスワードを複数のアカウントに使用しない、という最も基本的なルールに従っていなかったのです。

この事例はまだ調査中のため、OurMine Teamの話が本当かどうかは検証していません。デジタルテクノロジーにあれほど精通した人が、セキュリティ上の簡単な間違いを犯すというのは信じがたいことです。しかし実際には、私たちは皆人間で、間違いを犯してしまうものなのです。テクノロジー業界のリーダーですら一般的な間違いを犯すことがあるとしたら、誰でもオンラインハッキングの被害に遭う可能性があります。そのため、サイバーセキュリティのベストプラクティスを使用して必ずオンライン上で自己防衛しておく必要があるという重要な教訓が得られました。

手始めにいくつかの方法があります。

  • 複雑なパスワードを使用すること。password1234 dadadaは便利で覚えやすいのですが、セキュリティ上は脆弱なものです。サイバー犯罪者は最も一般的でシンプルな組み合わせから試して、アカウントに侵入しようとします。アカウントのセキュリティを確保する最初のステップは、文字、数字、特殊文字を含む複雑なパスワードを使用することです。多要素認証のパスワードセキュリティの詳細をこちらで確認いただくこともできます(英語)。 
  • 複数のアカウントに同じパスワードを使用しない。データ侵害後、犯罪者は不正に入手した電子メールとパスワードの組み合わせを使って、他のオンラインサービスにも侵入しようとします。まさにこの方法で、ザッカーバーグのハッキングが行われたと言われています。すべてのアカウントへのマスターキーが犯罪者の手に渡らないように、プロフィールごとに異なるパスワードを使用してください。
  • データ侵害のニュースをチェックする。 念のため、自分が使用しているサービスで侵害が発生していないか、常に最新のセキュリティニュースをチェックしてください。データ侵害によって簡単なパスワードだけでなく、機密情報が漏えいすることがあるので、サイバー犯罪の世界で何が起こっているのか常に注視しておく必要があります。攻撃を早く察知したほうが、必要なセキュリティ対策を早く講じることができます。

最後に、コンシューマとモバイルに対するセキュリティ脅威の最新情報について、マカフィー公式Twitterのフォローと、マカフィー公式Facebookで「いいね!」のクリックをお願いします。

 


※本ページの内容は2016年6月7日更新のMcAfee Blog の抄訳です。
原文: What Everyone Can Learn from The Mark Zuckerberg Hack
著者: Gary Davis(Chief Consumer Security Evangelist)

【関連情報】

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速