パスワードは、個人情報を守ってくれる砦でも何でもない。いまやどんな人のパスワードも簡単に手に入るようになり、パスワードの時代は終焉を迎えた。US版『WIRED』のシニア・ライターを務める筆者は、Twitterをはじめとする、ありとあらゆるアカウントをハックされ、子どもとの思い出の写真から仕事の記録、信頼から名誉まですべてを失った。わたしたちは、デジタルの世界で自分の身を守れるのか?(本誌『WIRED』VOL.8より転載)
人生を狂わすパスワード
手元の秘密がひとつ暴かれるだけで、あなたの人生は崩壊しかねない。そもそも、その秘密は意外とガードがゆるい。無頓着な人なら6文字、警戒心の強い人なら16文字。その簡単な文字列が、あなたのすべてをあらわにしてしまう。
メール、銀行口座、住所にクレジットカードの番号から、子どもたちの写真、いまこの文章を読んでいるあなたの居場所まで、パスワードさえあれば大切な情報は守ることができるとされてきた。しかし、それは迷信、幻想、時代遅れだ。
パスワードがどんなに複雑でも、独特でも、個人情報は守れない。
いまやハッカーがコンピューターシステムに侵入してユーザー名とパスワードの一覧をウェブで公開したり、それを転売したりすることは珍しくない。同じメールアドレスとユーザー名をさまざまなアカウントで使い回すという過ちひとつで、甚大な被害に遭いかねないのだ。クラウドで管理される個人情報が膨大になってきたために、カスタマーサーヴィスの担当をだましてパスワードをリセットすることくらい朝飯前だ。ハッカーは、ひとつのウェブサーヴィスで公開されている個人情報を入手するだけで、別のサーヴィスに侵入できてしまう。
2012年の夏、わたしのデジタルライフは、ほんの1時間でハッカーに崩壊された。自分のパスワードはすべて堅牢だと思っていた。アップルが7文字、Twitterが10文字、Gmailに至っては19文字で、いずれも英数字を組み合わせてあり、なかには記号まで交ぜたものもあった。しかし3つのアカウントがリンクしていたため、ひとつのアカウントに入り込んだハッカーにすべて掌握されてしまった。彼らの目的はわたしのTwitterアカウント、@matを手に入れることだった。3文字のハンドルネームだから価値があると思われてしまったようだ。わたしがTwitterアカウントを取り返すのに時間がかかるよう、彼らはわたしのアップルアカウントを使って、わたしのiPhone、iPad、MacBookのデータをすべて消去した。メールもドキュメントも、1歳半になる娘の写真も1枚残らず。
ハッキングの方法教えます
それ以来、わたしはオンラインセキュリティについて熱心に学び始めたのだが、調べるにつけ恐ろしくなった。あまりに脆弱だとわかったからだ。わたしがあなたのメールアカウントへの侵入を試みるとしよう。例えば、あなたがAOLを使っているとする。AOLのサイトにアクセスし、名前に加え、例えば生まれた都市を入力する。名前や生誕地を調べることなどウェブ検索を使えばたやすいにもかかわらず、たったそれだけの情報でAOLはパスワードをリセットしてくれるので、わたしはあなたとしてログインできるというわけだ。
ログインしてどうするかって? まず「銀行」というキーワードでメールに検索をかけ、あなたがどの銀行をオンラインで利用しているかを調べる。その銀行のサイトから「パスワードを忘れた場合」というリンクをクリック。パスワードをリセットしてあなたのアカウントに侵入し、支配する。これで、メールだけでなく銀行口座まで掌握したことになる。
その夏、わたしはあらゆるアカウントへの侵入方法を身につけた。外国の怪しげなサイトで4ドルほどの金と、2分ほどの時間を費やせば、わたしでもあなたのクレジットカード番号、電話番号、社会保障番号、住所を調べられる。さらに5分ほどあれば、アマゾン、Hulu、マイクロソフトなどのアカウントへの侵入も可能だ。その後10分で、あなたの電話、ケーブルテレビ、インターネットの回線を乗っ取れる。合計でものの20分もあれば、ペイパルのアカウントまで手に入れられる。
どのサーヴィスにも共通する脆弱性はパスワードだ。パスワードは、まだコンピューターシステム同士がつながっていなかったころの遺物にすぎない。どんなに気をつけようが、文字列が長かろうと不規則だろうと、いまの時代、パスワードでは悪意のあるハッカーからアカウントは守れない。すでにパスワードの時代は終わったのに、わたしたちはそれに気づいてない。
パスワードは過去の遺産
http://wired.jp/2013/07/13/hacked-vol8/2/
人生を狂わすパスワード
手元の秘密がひとつ暴かれるだけで、あなたの人生は崩壊しかねない。そもそも、その秘密は意外とガードがゆるい。無頓着な人なら6文字、警戒心の強い人なら16文字。その簡単な文字列が、あなたのすべてをあらわにしてしまう。
メール、銀行口座、住所にクレジットカードの番号から、子どもたちの写真、いまこの文章を読んでいるあなたの居場所まで、パスワードさえあれば大切な情報は守ることができるとされてきた。しかし、それは迷信、幻想、時代遅れだ。
パスワードがどんなに複雑でも、独特でも、個人情報は守れない。
いまやハッカーがコンピューターシステムに侵入してユーザー名とパスワードの一覧をウェブで公開したり、それを転売したりすることは珍しくない。同じメールアドレスとユーザー名をさまざまなアカウントで使い回すという過ちひとつで、甚大な被害に遭いかねないのだ。クラウドで管理される個人情報が膨大になってきたために、カスタマーサーヴィスの担当をだましてパスワードをリセットすることくらい朝飯前だ。ハッカーは、ひとつのウェブサーヴィスで公開されている個人情報を入手するだけで、別のサーヴィスに侵入できてしまう。
2012年の夏、わたしのデジタルライフは、ほんの1時間でハッカーに崩壊された。自分のパスワードはすべて堅牢だと思っていた。アップルが7文字、Twitterが10文字、Gmailに至っては19文字で、いずれも英数字を組み合わせてあり、なかには記号まで交ぜたものもあった。しかし3つのアカウントがリンクしていたため、ひとつのアカウントに入り込んだハッカーにすべて掌握されてしまった。彼らの目的はわたしのTwitterアカウント、@matを手に入れることだった。3文字のハンドルネームだから価値があると思われてしまったようだ。わたしがTwitterアカウントを取り返すのに時間がかかるよう、彼らはわたしのアップルアカウントを使って、わたしのiPhone、iPad、MacBookのデータをすべて消去した。メールもドキュメントも、1歳半になる娘の写真も1枚残らず。
ハッキングの方法教えます
それ以来、わたしはオンラインセキュリティについて熱心に学び始めたのだが、調べるにつけ恐ろしくなった。あまりに脆弱だとわかったからだ。わたしがあなたのメールアカウントへの侵入を試みるとしよう。例えば、あなたがAOLを使っているとする。AOLのサイトにアクセスし、名前に加え、例えば生まれた都市を入力する。名前や生誕地を調べることなどウェブ検索を使えばたやすいにもかかわらず、たったそれだけの情報でAOLはパスワードをリセットしてくれるので、わたしはあなたとしてログインできるというわけだ。
ログインしてどうするかって? まず「銀行」というキーワードでメールに検索をかけ、あなたがどの銀行をオンラインで利用しているかを調べる。その銀行のサイトから「パスワードを忘れた場合」というリンクをクリック。パスワードをリセットしてあなたのアカウントに侵入し、支配する。これで、メールだけでなく銀行口座まで掌握したことになる。
その夏、わたしはあらゆるアカウントへの侵入方法を身につけた。外国の怪しげなサイトで4ドルほどの金と、2分ほどの時間を費やせば、わたしでもあなたのクレジットカード番号、電話番号、社会保障番号、住所を調べられる。さらに5分ほどあれば、アマゾン、Hulu、マイクロソフトなどのアカウントへの侵入も可能だ。その後10分で、あなたの電話、ケーブルテレビ、インターネットの回線を乗っ取れる。合計でものの20分もあれば、ペイパルのアカウントまで手に入れられる。
どのサーヴィスにも共通する脆弱性はパスワードだ。パスワードは、まだコンピューターシステム同士がつながっていなかったころの遺物にすぎない。どんなに気をつけようが、文字列が長かろうと不規則だろうと、いまの時代、パスワードでは悪意のあるハッカーからアカウントは守れない。すでにパスワードの時代は終わったのに、わたしたちはそれに気づいてない。
パスワードは過去の遺産
http://wired.jp/2013/07/13/hacked-vol8/2/