160億件のデータ漏洩が心配？私もハッキング被害に遭ったので、これを解決するために私がやったことすべて

告白します。私は以前、パスワードを使い回していました。

これはセキュリティ上の最大の罪ですが、これは10年以上前のことで、当時はまだ優れたパスワードマネージャーの存在を知りませんでした。これは大きな間違いでした。そして、研究者がパスワードやその他の機密データを含む160億件のレコードをデータベース化したというニュースもあり、これはあなたにとっても問題になるかもしれません。

詳細はほとんどなく、データがどこから来たのか、誰がその背後にいるのかは分からない。しかし、最も重要なのは、不安な気持ちを乗り越えて、セキュリティを向上させるための実際的な措置を講じることだ。私は以前ハッキングされたことがあるので、そのことはよくわかっている。

2013年、Adobeがハッキングされ、攻撃者は1億5,300万件のユーザー名とパスワードのリストを入手しました。これらのパスワードは暗号化されておらず、平文で保存されていたため、誰でも解読できました。そのため、リストが流出した時点で、攻撃者は私のような不運なAdobeユーザーを狙うのに必要な情報をすべて手に入れたのです。

ストレスの多い時期でした。メールアカウントには最も機密性の高い情報が保存されているため、一度アカウントにアクセスされれば、パスワードをリセットして他のウェブサイトやサービスへのアクセスもブロックされる可能性があります。しかし、私は彼らを追放し、その後はすぐに自分を守る方法を学びました。

10年以上経った今でも、私のアカウントに侵入しようとする攻撃者がいます。しかし、重要な違いがあります。それは、今はもう攻撃できないということです。そこで、私が自分の失敗からどのように学び、皆さんが同じようなことを防ぐために簡単にセキュリティを強化できるのかをお伝えする絶好の機会だと感じました。

アカウントを保護する方法：概要

1. パスワードを再利用しないでください
2. 2要素認証を有効にする
3. 使用していないアカウントを削除する
4. Have I Been Pwned にサインアップ
5. 新しく始める

1. パスワードを再利用しない

さて、この話の冒頭で既にお察しかと思いますが、Adobeのハッキング事件の際に私が抱えた大きな問題の一つは、複数のサイトで同じパスワードを使い回していたことでした。そのため、攻撃者がクレデンシャルスタッフィング攻撃を使って他のアカウントにも侵入するのは非常に容易でした。

他の方と同じように、私がこれをした理由は、覚えておくべきパスワードがたくさんあるからです！アカウントがロックアウトされるのは避けたかったし、パスワードリセットフォームは必ずしも信頼できるとは限らないので、すべてのサイトで使えるシンプルで覚えやすいパスワードを設定するのが最善策だと判断しました。

数字、大文字、記号が使われているので安全だと思っていました。「password」や「passw0rd」を使うほど危険ではありませんが、それほど危険ではないでしょう。

この問題を回避する最善の方法は、1PasswordやProton Pass（私のおすすめ）のようなパスワードマネージャーを使うことです。これらのツールはすべての認証情報を一箇所に安全に保存し、長くて複雑なパスワードを生成してくれます。パスワードは覚える必要はなく、簡単に使えます。

ほとんどのサービスにはブラウザ、コンピューター、スマートフォン用のアプリも用意されているため、いつでもパスワードにアクセスできます。

• データ侵害はかつては滅多に起こらなかったため、大きなニュースとなっていました。しかし、今回の新たな漏洩は、新たなものである可能性もあれば、過去のハッキングの流用である可能性もあります。また、ハッカーが利用できる自動化ツールやAIベースのツールが増えていることから、ハッカーがあなたのアカウントでこれらの情報を入手することが、これまで以上に迅速かつ容易になっています。

2. 2要素認証を有効にする

攻撃者が一部のアカウントに簡単に侵入できる理由の一つは、ユーザー名とパスワードさえ入手すれば、本人であるかのようにログインできるからです。しかし、もしあなたが本人であることを示す固有のトークンを持っていて、それがなければ誰もあなたのアカウントにアクセスできないとしたらどうでしょうか？

これが二要素認証（2FA）の考え方です。個人アカウントで使ったことがなくても、職場では使ったことがあるかもしれません。2FAには様々な形式がありますが、最も一般的なのは、アプリで生成されるか、SMSで携帯電話に送信される6桁のコードです。

ログイン詳細とともにこれらのコードのいずれかを要求すると、ユーザー名とパスワードを知っているだけでなく、ログインしようとしているのが本当に本人であることを確認するのに役立つ既知の物理的なアイテムを所持していることが示されます。

これは、たとえパスワードが漏洩したとしても、攻撃者によるアカウントへのアクセスを遮断する最も効果的な方法の一つです。スマートフォンの無料アプリ「Authy」を使ってMicrosoftアカウントにこの設定をしてからは、ハッカーは何度もアカウントへの侵入を試みましたが、一度も成功しませんでした。これは、防御を強化する簡単な方法です。

ただし、私がこれを知っているのは、Microsoft に、サインイン試行がいつどこから行われ、成功したかどうかを示す非常に便利なアカウント アクティビティ ページがあるからです。

オンライン アカウントのセキュリティをさらに強化したい場合は、代わりに物理的なセキュリティ キーの使用も検討してください。

3. 使用していないアカウントを削除する

これについては特に言うことはありません。もう使わないアカウントは削除しましょう。定期的に整理するのは良いことですし、古いアカウントや休眠中のアカウントを削除すれば、データが乱雑になり、問題が発生する可能性も減ります。

すべてのサイトに「アカウントを削除」ボタンが用意されているわけではありませんが、企業のプライバシー ポリシー (通常は Web サイトの下部のフッターにリンクされています) にアクセスすると、プライバシーの連絡先を見つけて、メールを送信し、データの削除を依頼できます。

さらに、私がハッキング被害に遭ってから数年の間に、世界中の当局がプライバシー規制を強化したため、多くの地域では、事業者にはユーザーの要求に従う法的義務が生じています。だからこそ、最近ではGoogleアカウントの削除など、非常に簡単にできるのです。

4. Have I Been Pwnedから通知を受け取る

確かに、「Have I Been Pwned」はセキュリティウェブサイトとしては奇妙な名前です（pwnはハッカー用語で、不正アクセスを意味します）。しかし、アカウントを保護するための最高の無料セキュリティリソースの一つであることは間違いありません。このサイトの運営者であるTroy Hunt氏は、ハッキングに関するデータを収集し、あなたのアカウントがハッキング被害に遭った場合にアラートを送信してくれます。

こうして私は後に、MyFitnessPal、NetGalley、LinkedIn、Last.fm の侵害で自分の個人情報が漏洩したことを知ることになる。その他にも、大抵はサインアップした覚えもないランダムなサイト（そしておそらく気付かないうちに少なくとも 10 年間自分の個人情報を保存していた）が数多くあった。

使い方は簡単で、ハッキングされたアカウントのパスワードを変更する必要がある際に、早期に通知してくれます。ハッキングされたデータは複雑で検証が難しい場合があるため、特定のパスワードが侵害されたかどうかを確認したい場合は、検索可能なPwned Passwordsデータベースも利用できます。

現状では、Have I Been Pwned はこのデータベースを自社のシステムにロードしていません (研究者によると、データは短時間しか公開されておらず、一般公開されておらず、HIBP は侵害を追加する前に徹底的な検証チェックを行っています)。

• Have I Been Pwned で自分の電子メール アドレスを手動で確認することもできますが、ハッキングに自分の詳細が含まれるとすぐに電子メール通知を受け取ることができるように、Notify Me サービスを使用することをお勧めします。

5. クリーンなスタートを検討する

ハッカーが私の仮想世界のドアをノックする頃には、Hotmailのメールアカウントを15年近く使っていました。長年使い続けてきたアカウントが標的になった今、そろそろ新しいスタートを切るべきだと決心しました。そこでOutlookからGmailに切り替え、さらに最近ではProton Mail（セキュリティ面では最高のメールサービスと評価しています）に切り替えました。

正直に言うと、かなり手間がかかりました。持っていたアカウントを全部確認し、メールアドレスを変更し、新しいパスワードを作成し、2段階認証を設定するのは、かなり時間がかかりました。でも、それだけの価値はありました。今のアドレスが漏洩したのはたった1件だけ（Twitterに感謝！）、おかげで私のデータが流出する量は減りました。

さらに、ゼロから始めることで、より慎重にセキュリティ対策を講じられるようになりました。どのサービスに登録するか、個人情報をどこに保存するか、アカウントをどのように保護するかなど、より慎重に考えるようになりました。どうしても必要な場合を除いて、実際の電話番号はほとんど使用せず、マーケティングリストへの登録は必ず解除するようにしています。

これらはアカウントを永久に安全に保つための万能策ではありません。あなたのデータはアカウントを管理する企業の意のままに扱われることになります。しかし、セキュリティ上の問題が減り、誰かが私のアカウントに侵入する心配がなくなり（侵入は不可能なので）、スパムメールもほとんど届かなくなりました。

• 使っていないメールの購読を解除するのは良い考えですが、同時にリスクも伴います。メールの購読解除リンクの中には、データの窃盗やマルウェアのダウンロードを目的とした悪質なページへ誘導するものもあります。代わりに、メールプロバイダーがメール上部に表示する「ニュースレターの購読解除」ボタンをクリックしてください。

Tom's Guideのその他の記事

• AT&Tの新たなデータ漏洩で、以前に漏洩した情報が社会保障番号や生年月日と関連づけられていることが判明
• MetaがAndroidユーザーを同意なしにウェブ上で追跡していると非難される - 知っておくべきこと
• Microsoft Authenticatorは7月にパスワード自動入力機能を停止します。パスワードを保存する方法は次のとおりです。