オンライン パスワードの管理
オンライン セキュリティのことはよくわからない、というユーザーが多いようです。Google の Mark Risher と Stephan Micklitz が、セキュリティ対策を開発するさいに考慮しているこうしたユーザー感情について語ります。
Risher さんは Google でインターネット セキュリティ部門のプロダクト管理担当ディレクターを務めていますが、これまでオンライン詐欺に遭ったことはありますか?
Mark Risher: すぐに具体例は浮かんでこないのですが、あると思います。ウェブを閲覧する際には、皆さんと同じく私もミスを犯します。たとえば、最近では Google のパスワードを誤ったウェブサイトに入力してしまいました。幸いにも、Chrome のパスワード アラート プラグインをインストールしていたため、ミスに気づくことができました。当然ですが、すぐにパスワードを変更しました。
Google のプライバシー&セキュリティ チームのエンジニアリング部門ディレクター Stephan Micklitz: そのようなミスは誰にでもあります。一度パスワードを覚えてしまうと、場所をよく確かめずに、不用意にパスワードを入力してしまいがちです。
Risher: パスワードを完全になくすことができればよいのですが、残念ながらそう簡単にはいきません。
「見えない所で多くのセキュリティ対策に取り組んでいます。」
Mark Risher
パスワードのどこが問題なのですか?
Risher: 盗まれやすい、覚えづらい、管理が面倒など、パスワードには多くのデメリットがあります。多くのユーザーが、パスワードは長くて複雑なほどよいと信じていますが、実際には、そのようなパスワードを使用することでリスクが増加しています。一度複雑なパスワードを作るとそれを複数のアカウントに流用しがちなため、脆弱性が高まるのです。
Micklitz: パスワードを入力する機会が少ないほど、セキュリティは向上します。複数のアカウントでログインとログアウトを繰り返すのは好ましくありません。今どのウェブページにログインしているかということに注意を払わなくなり、パスワードが盗まれやすくなるからです。そのため、Google ではログインしたままにすることを推奨しています。
銀行のウェブサイトでは、数分間操作しないと自動的にログアウトされてしまいます。
Micklitz: 残念なことに、いまだに多くの企業が古いルールに従っています。こまめにログアウトしたほうがよいというアドバイスは、多くのユーザーがインターネット カフェを使用したり、パソコンを他のユーザーと共有したりしていた時代の名残です。Google の調査によると、パスワードを入力する頻度が増えるほど、サイバー攻撃の被害を受けやすくなることがわかっています。そのため、スマートフォンやパソコンの画面ロックを有効にして、安全なパスワードを使用するほうがセキュリティは向上します。
Risher: 残念ながら、正しくない、もしくは役に立たないアドバイスが広まっているため、多くのユーザーが混乱している可能性があります。最悪のシナリオは、ユーザーが何を信じてよいかわからなくなり、「自分を守ることがそんなに難しいのなら、もう守るのをやめてしまおう」と諦めてしまうことです。これは例えるなら、強盗が家の周りをうろついていることを知っていながら、玄関のドアを開けたままにしておくようなものです。
Mark Risher は、Google でセキュリティとプライバシーのプロダクト管理担当ディレクターを務める。2010 年にサイバーセキュリティのスタートアップ企業である Impermium を設立。2014 年に Google により買収されて以降、カリフォルニア州マウンテンビューにある Google 本社に勤務する。右の写真: 高度な保護機能プログラムで使用されているセキュリティ キー。低価格で販売されており、さまざまなウェブサイトで使用できる。
パスワードがなくなったとしたら、Google はどのようにしてユーザーのセキュリティを確保しますか?
Risher: Google はすでに、見えない所でパスワード以外にも多くのセキュリティ対策を講じています。そのため、ハッカーにパスワードや携帯電話番号が盗まれたとしても、Google アカウントのセキュリティは 99.9 パーセント保証できます。たとえば、Google はユーザーがログインしているデバイスや国をチェックしています。何者かが複数回連続で誤ったパスワードを使用してアカウントにログインしようとした場合、Google のセキュリティ システムでアラームが作動します。
Micklitz: Google が開発したセキュリティ診断を使用して、Google アカウントのセキュリティ設定をステップを追ってチェックすることもできます。また、高度な保護機能プログラムを使うことで、セキュリティをさらに向上させることができます。
高度な保護機能プログラムとは、どのようなものですか?
Micklitz: もともとこのプログラムは、政治家、CEO、ジャーナリストなど、犯罪者に狙われる可能性が特に高い人々を対象として開発されました。現在では、オンラインでの保護を強化したいユーザーは誰でも利用できるようになっています。このプログラムを利用することで、特別な USB または Bluetooth 端子を持っているユーザーだけが、保護された Google アカウントにアクセスできるようになります。
Risher: Google では、全社員がセキュリティ キーを使用して会社のアカウントを保護しています。その経験から、このシステムがどれほど効果的であるかを理解しています。このセキュリティ対策を導入して以来、パスワードの入力が原因と見られるフィッシング被害は 1 件も発生していません。ハッカーは、パスワードを入手してもトークンがなければアカウントにアクセスできません。トークンを使用することで Google アカウントのセキュリティは大幅に向上します。一般に、オンライン アカウントは世界中のどこからでもハッキングされる可能性がありますが、物理的なセキュリティ トークンで保護されたアカウントの場合、そのようなリスクはありません。
Micklitz: セキュリティ トークンは、Google の高度な保護機能プログラムだけでなく、多くのウェブサイトで使用できます。トークンは Google または他のプロバイダから低価格で購入可能です。詳細については、g.co/advancedprotection をご覧ください。
「人はインターネット上のこととなると、リスクを正しく評価できなくなる場合があります。」
Stephan Micklitz
今日のインターネットに潜んでいる最大の危険は何だと思いますか?
Risher: 問題の 1 つは、ユーザー名とパスワードが記載されたリストがインターネット上で多数公開されていることです。同僚の Tadek Pietraszek とそのチームが 6 週間かけてインターネット上を調査したところ、ユーザー名とパスワードの組み合わせが 35 億個も公開されていることがわかりました。これらのデータはハッキングされた Google アカウントのものではなく、他のプロバイダから盗まれたものでした。しかし、多くのユーザーが同じパスワードを複数のアカウントに使用しているため、これらのリストは Google にとっても問題でした。
Micklitz: 私はスピア フィッシングが大きな問題だと考えています。この攻撃では、攻撃者は被害者が普段受け取っているようなメッセージを巧妙に装うため、それが不正目的のメールであると見抜くことが難しくなります。ハッカーがこの手法を使うようことも増え、成功率も高まっています。
Risher: 同感です。付け加えるなら、スピア フィッシング攻撃を仕掛けるのに、人々が思うほど時間はかかりません。特定の個人向けに内容をカスタマイズした迷惑メールですが、多くの場合数分で作成されます。ハッカーは、ユーザーがインターネット上で公開している情報を利用します。これは、ユーザーが暗号通貨に関する情報を公開している場合などに問題になります。たとえば、10,000 ビットコインを保有していることを公表しているユーザーは、この情報がサイバー犯罪者の関心を集める可能性があることを覚悟しておく必要があります。
Micklitz: これは例えるなら、市場の真ん中に立って、メガホンを使って自分の銀行口座の残高を発表しているようなものです。そんなことをする人はいませんよね。しかし、人はインターネット上のこととなると、リスクを正しく評価できなくなる場合があります。
迷惑メールの他に問題になっていることはありますか?
Risher: デバイスとサービスが接続されるようになったことも、Google にとって大きな課題となっています。ユーザーはインターネットに接続する際に、ノートパソコンやスマートフォンだけではなく、テレビ、スマートウォッチ、スマート スピーカーも使用しています。これらのデバイス上ではさまざまなアプリが実行されており、ハッカーに対して攻撃の足がかりを多数与えてしまうことになります。さらに、現在では多くのデバイスが接続されているため、ハッカーは 1 つのデバイスを使用して他のデバイスに保存されている情報にアクセスできます。このように新しい使用習慣が多数ある中で、どのようにしてユーザーの安全性を確保するかという問題に対処する必要があります。
Micklitz: そのためにはまず、どのデータが各サービスにとって本当に必要で、どのデータがサービス間で交換されるのかを見極めなければなりません。
Stephan Micklitz
Google のプライバシー&セキュリティ チームのエンジニアリング部門ディレクター。ュンヘン工科大学でコンピュータ サイエンスを学び、2007 年より Google のミュンヘン オフィス勤務。ドイツにおけるオンラインの安全性に関するイニシアチブ、Deutschland sicher im Netz(DsiN)のメンバーでもある。
人工知能はユーザー保護にどのように使われていますか?
Micklitz: Google では人工知能をかなり前から使用しています。
Risher: このテクノロジーは、Google のメールサービスである Gmail に最初から組み込まれていました。また、Google は TensorFlow と呼ばれる独自の機械学習ライブラリを開発しました。機械学習に関わるプログラマーは、このライブラリを使用することでスムーズに作業を進めることができます。TensorFlow は典型的なパターンを認識することに長けているため、特に Gmail でメリットを発揮します。
そのパターン認識の仕組みを教えてください。
Risher: たとえば、複数のユーザーで、Google が分類できないような不審なアクティビティが検出されたとします。自動学習型の人工知能はこれらのイベントを比較し、最良のシナリオでは、インターネット上に広まる前に新手の詐欺を検出できます。
Micklitz: ただし、機械はそれを使う人間と同じ程度にしか賢くなれないため、限界があります。機械に誤ったデータや偏ったデータを与えると、機械が認識するパターンも同様に、誤った、または偏ったものになります。人工知能について誇大な宣伝が行われていますが、使う人によってその効果は異なります。質の高いデータを使用して機械をトレーニングし、その後結果をチェックするのは人であり、つまり人次第なのです。
Risher: 以前に別のメール プロバイダに勤めていたときに、ラゴスにある銀行の従業員からメッセージを受信しました。当時、ナイジェリアから送信されたと思われる詐欺メールが大量に出回っていました。その男性によると、勤務先は一流の銀行であるにもかかわらず、送信したメールが毎回受信者の迷惑メールフォルダに振り分けられてしまうとのことでした。これはパターン認識でありがちな誤った一般化で、与えられた情報が十分でない場合に起こります。この問題はアルゴリズムを変更することで無事解決できました。
写真: Conny Mirbach
サイバーセキュリティの発展
Google がいかにして世界中の人々のオンラインでの安全性を守っているかをご紹介します。
詳細