正直に答えよう。見知らぬ人があなたのアカウントに侵入するのに、本当に数クリックで済むこともある。しかし、通常、1分間は攻撃の始まりに過ぎず、ハッキングのすべてではありません。一般的に、長い間開いていたドアはすぐに侵入につながる。弱いパスワード、二要素認証の欠如、またはアンインストールされたアップデートなどだ。この記事では
ハッキング」とはどういう意味なのか?ハッカーはいくつかのステップを踏む。どこかに弱点を見つけ、侵入し、権限を昇格させ、ネットワークを動き回り、データを盗んだりコンピューターを暗号化したりする。ニュースでは結末はわかるが、準備はわからない。
分のおとぎ話が現実になるのはいつだろう?古いパスワードが電子メールやクラウドに残され、追加のログイン確認が行われていないとき、古いVPNがインターネットに接続されているとき、既知のウェブサイトのホールにまだパッチが適用されていないとき。このような場合、自動ボットはほとんど瞬時にログインすることができ、それはまるで魔法のように見える。
最初の一歩を踏み出した後、攻撃者は通常時間をかける。彼らは一瞬で勝ちたいわけではなく、お金か情報が欲しいのだ。そのため、興味のあるデータがどこにあるのか、誰が管理者権限を持っているのか、イベント・ログへの侵入を避けるにはどうすればいいのかを研究する。この部分には数時間から数日かかる。そして、うまく設定された防御が攻撃を検知するチャンスを与えてくれる。
インスタント・ハッキング神話は2つの点で有害である。第一に、無力感を煽ることである。何もかもすぐに壊れてしまうのであれば、身を守る意味はない。第二に、パニックを引き起こし、複雑で高価な(あるいは不必要な)プログラムにお金を使いたがる。
MFA(または二要素認証)
ところで、MFAはアカウントのハッキングを防ぐ最も簡単で効果的な方法だ。パスワードは玄関の鍵にすぎません。MFAは2つ目の、完全に独立した鍵を追加します。簡単に言えば、パスワードを知っているだけでは侵入できないのです。システムは常に、あなただけが持っている第二の証明を要求する。しかし、この第二の証明はどのように機能するのだろうか?ユーザー名とパスワードを入力すると、システムはさらに瞬時の確認を要求します。この第二の証明は次のようなものです:
アプリ内コード。スマートフォンの専用アプリケーション(Google AuthenticatorやAuthyなど)で生成されるワンタイムデジタルコード。基本的に最も安全な方法です。
SMS/Eメール コードは携帯電話かEメールに送られる。
バイオメトリクス。 モバイル機器の指紋または顔スキャン(Face ID/Touch ID)。
ハードウェアキー。 検証のために挿入する必要がある物理的なUSBデバイス。
二要素認証のおかげで、ハッカーが(データ漏洩やフィッシングなどで)パスワードを盗んだとしても、その努力は無駄にならない。 なぜですか? なぜなら、彼らはワンタイムコードを取得したり生成したりするために、あなたの個人的なデバイス(スマートフォンや物理的なキー)にアクセスすることができないからです。このように、ログイン・プロセスに1つの簡単なステップを加えるだけで、ハッキングから身を守ることができる。
このような微細なハッキングに対して本当に有効なのは何か
どこでもログイン認証を有効にする。 重要なアカウントについては、SMSの代わりにアプリ内または物理的なキー認証を選択します。
すべてを自動的にアップデート。システム、ブラウザ、電話、ルーター、スマートランプ、そう、それらさえも。手っ取り早いハッキングのほとんどは、すでにアップデートで塞がれているにもかかわらず、ユーザーがインストールしていない既知の穴を通して起こる。
パスワードを正しく管理する。 パスワード・マネージャーは、ユニークな組み合わせを作成し、あなたのためにそれらを記憶します。Eメール、銀行、ソーシャルメディアに同じパスワードを使うのは、文字通り災難への招待状だ。
インターネットへのオープンドアを最小限にする。重要なサービス(ウェブサイト、電子メール、VPN)だけに外部からのアクセスを許可することは、ビジネスにとって非常に重要です。それ以外はすぐにファイアウォールで隠すかブロックし、セキュリティを強化する。
一般アカウントと管理者アカウントを分ける。 毎日一般ユーザーとして働く。管理者権限が必要な場合は、一時的にアクセス権を上げ、その後オフにする。
アラームをセットする。 イベントログ、新規ログインの通知、すべてのデバイスのランサムウェアに対する基本的な保護。小規模な企業であれば、プロバイダーによるマネージド・プロテクションか、モニタリング機能付きの統合型アンチウイルスを選択しましょう。
コピーは別々に保管すること。 クラウド上のバックアップ+外付けドライブへの定期的なオフライン・コピー。これがなければ、たとえ最高のプロテクションであっても安心は保証されない。
クリック数ゼロ
あなたが何もしなくても(例えばメッセンジャーの脆弱性などを通じて)引き起こされる攻撃もある。これは高価でまれなもので、ほとんどが個人や組織をターゲットにしている。ほとんどの人にとって、リスクはもっと些細なものである。フィッシング、弱いパスワード、古いアプリケーションなどである。
いくつかの神話と事実
「ハッカーが望めば、何でもハッキングできる。 実際、攻撃者は簡単な標的を選ぶ。二要素認証とアップデートは、攻撃者をより安全でないターゲットに移動させることが多い。
「アンチウイルスがすべてを解決する」。それは違う。それは1つのレイヤーに過ぎない。最強のものは、パスワード、MFA、アップデートだ。
「私は何も持っていない。 電子メールやクラウドへのアクセスは、連絡先をハッキングしたり、他のサービスへのアクセスを復元したりするのに使われる可能性があるため、すでに価値がある。
“企業には自己防衛をさせるが、家では気にしない” 自宅のデバイスには、仕事の電子メールや文書、個人的な財務情報が含まれていることが多い。自宅を守ることは、仕事と家族を守ることでもあるのです。
最後に、即座にハッキングが起こるのは、ドアが大きく開いている場所、つまり確認なしのパスワード1つ、古いアプリケーション、開いているサービスであることを覚えておいてほしい。簡単な標的を取り除くだけで、ハッカーが必要とする時間は数分から数時間に劇的に増加する。前にも述べたように、二要素認証、ソフトウェア・アップデート、パスワード・マネージャーの使用、バックアップなどだ。真のセキュリティは、派手なテクノロジーではなく、日々の習慣にかかっているのだ。
