オンライン パスワードの​管理

Risher さんは​ Google で​インターネット セキュリティ部門の​プロダクト管理担当ディレクターを​務めています。​これまで​オンライン詐欺に​遭った​ことは​ありますか？

Mark Risher: すぐに​具体例は​浮かんで​こないのですが、​あると​思います。​ウェブを​閲覧する​際には、​皆さんと​同じように​私も​ミスを​犯します。​たとえば、​最近では​ Google の​パスワードを​誤った​ウェブサイトに​入力してしまいました。​幸いにも、​Chrome の​パスワード アラート プラグインを​インストールしていた​ため、​ミスに​気づく​ことができました。​当然ですが、​すぐに​パスワードを​変更しました。

Google の​プライバシー＆セキュリティ チームの​エンジニアリング部​門ディレクター、​Stephan Micklitz: ​そのような​ミスは​誰にでもあります。​一度​パスワードを​覚えると、​それを​どこに​入力しているのかを​よく​考えずに、​不用意に​入力してしまいがちです。

Risher: パスワードを​完全に​なく​すことができれば​よいのですが、​残念ながら​そう​簡単には​いきません。

「多くの​セキュリティ対策は、​ユーザーの​目に​見えない​ところで​実施されています。」

Mark Risher

パスワードの​何が​問題なのでしょうか？

Risher: 盗まれやすい、​覚えづらい、​管理が​面倒など、​パスワードには​多くの​デメリットが​あります。​多くの​ユーザーが、​パスワードは​長くて​複雑な​ほど​よいと​信じていますが、​実際には、​そのような​パスワードを​使用する​ことで​リスクが​増加します。​ユーザーは​複雑な​パスワードを​複数の​アカウントに​使用しが​ちな​ため、​脆弱性が​高まるのです。

Micklitz: パスワードを​入力する​機会が​少ない​ほど、​セキュリティが​向上します。​その​ため、​複数の​アカウントで​ログインと​ログアウトを​繰り返すべきでは​ありません。​そのうちに、​今どの​ウェブページに​ログインしているかと​いう​ことに​注意を​払わなくなり、​パスワードが​盗まれやすくなります。​このような​理由から、​Google では​ログインしたままに​する​ことを​推奨しています。

しかし、​私が​使用している​銀行の​ウェブサイトでは、​数分間操作しないと​自動的に​ログアウトされてしまいます。

Micklitz: 残念なことに、​いまだに​多くの​企業が​古いルールに​従っています。​こまめに​ログアウトした​ほうが​よいと​いう​アドバイスは、​多くの​ユーザーが​インターネット カフェを​使用したり、​パソコンを​他の​ユーザーと​共有したりしていた​時代の​名残です。​Google の​調査に​よると、​パスワードを​入力する​頻度が​増える​ほど、​サイバー攻撃の​被害を​受けやすくなる​ことが​わかっています。​その​ため、​スマートフォンや​パソコンの​画面ロックを​有効に​して、​安全な​パスワードを​使用する​ほうが​セキュリティは​向上します。

Risher: ​そのとおりです。​正しくない、もしくは​実用性に​かける​アドバイスが​広まっている​ため、​多くの​ユーザーが​混乱している​可能性が​あります。​最悪の​シナリオは、​ユーザーが​何を​信じて​よいかわから​なくなり、​「自分を​守る​ことが​そんなに​難しいの​なら、​もう​守るのを​やめてしまおう」と​諦めてしまう​ことです。​これは​たとえるなら、​強盗が​家の​周りを​うろついている​ことを​知っていながら、​玄関の​ドアを​開けたままに​しておくような​ものです。

Mark Risher は、​Google で​セキュリティと​プライバシーの​プロダクト管理担当ディレクターを​務めています。​2010 年に​サイバーセキュリティの​スタートアップ企業である​ Impermium を​創設し、​同社は​ 2014 年に​ Google に​買収されました。​それ以来、​Risher は​カリフォルニア州マウンテンビューに​ある​ Google 本社に​勤務しています。​右の​写真: 高度な​保護機能プログラムで​使用されている​セキュリティ キー。​低価格で​販売されており、​さまざまな​ウェブサイトで​使用できます。

パスワードを​廃止した​場合、​Google は​どのように​して​ユーザーの​セキュリティを​確保するのですか？

Risher: Google は​すでに、​見えない所で​パスワード以外にも​多くの​セキュリティ対策を​講じています。​その​ため、​ハッカーに​パスワードや​携帯電話番号が​盗まれた​としても、​Google アカウントの​セキュリティを​ 99.9 パーセント保証できます。​たとえば、​Google は​ユーザーが​ログインしている​デバイスや​国を​チェックしています。​何者かが​複数回連続で​誤った​パスワードを​使用して​アカウントに​ログインしようとした​場合、​Google の​セキュリティ システムで​アラームが​作動します。

Micklitz: Google が​開発した​セキュリティ診断を​使用して、​Google アカウントの​セキュリティ設定を​ 1 つずつチェックする​ことも​可能です。​また、​高度な​保護機能プログラムを​使う​ことで、​セキュリティを​さらに​向上させる​ことができます。

この​プログラムの​背景は？

Micklitz: もともと​この​プログラムは、​政治家、​CEO、​ジャーナリストなど、​犯罪者に​狙われる​可能性が​特に​高い​人々を​対象と​して​開発されました。​現在では、​オンラインでの​保護を​強化したい​ユーザーは​誰でも​利用できるようになっています。​この​プログラムを​利用する​ことで、​特別な​ USB または​ Bluetooth の​ドングルを​持っている​ユーザーだけが、​保護された​ Google アカウントに​アクセスできるようになります。

Risher: Google では、​全社員が​セキュリティ キーを​使用して​会社の​アカウントを​保護しています。​その​経験から、​この​システムの​高い​効果を​理解しています。​この​セキュリティ対策を​導入して​以来、​パスワードの​入力が​原因と​見られる​フィッシング被害は​ 1 件も​発生していません。​攻撃者は、​パスワードを​入手しても​トークンが​なければ​アカウントに​アクセスできません。​その​ため、​トークンを​使用する​ことで​ Google アカウントの​セキュリティは​大幅に​向上します。​一般に、​オンライン アカウントは​世界中の​どこから​でも​ハッキングされる​可能性が​ありますが、​物理的な​セキュリティ トークンで​保護された​アカウントの​場合、​そのような​リスクは​ありません。

Micklitz: セキュリティ トークンは、​Google の​高度な​保護機能プログラムだけでなく、​多くの​ウェブサイトで​使用できます。​トークンは​ Google または​他の​プロバイダから​低価格で​購入可能です。​詳しくは、g.co/advancedprotectionを​ご覧ください。

「人は​インターネット上の​こととなると、​リスクを​正しく​評価できなくなる​場合が​あります。」

Stephan Micklitz

今日の​インターネットに​潜んでいる​最大の​危険は​何だと​思いますか？

Risher: ​一つは、​オンライン上に​ユーザー名と​パスワードの​リストが​多数存在する​ことです。​同僚の​ Tadek Pietraszek と​その​チームが​ 6 週間かけて​インターネット上を​調査した​ところ、​ユーザー名と​パスワードの​組み合わせが​ 35 億個も​公開されている​ことが​わかりました。​これらの​データは​ハッキングされた​ Google アカウントの​ものではなく、​他の​プロバイダから​盗まれた​ものでした。​しかし、​多くの​ユーザーが​同じ​パスワードを​複数の​アカウントに​使用している​ため、​これらの​リストは​ Google に​とっても​問題でした。

Micklitz: 私は​スピア フィッシングが​大きな​問題だと​考えています。​この​攻撃では、​攻撃者は​被害者が​普段受け取っているような​メッセージを​巧妙に​装う​ため、​それが​不正目的の​メールであると​見抜く​ことが​難しくなります。​ハッカーが​この​手法を​使う​頻度が​増え、​成功率も​高まっています。

Risher: 同感です。​付け加えるなら、​スピア フィッシング攻撃を​仕掛けるのに、​人々が​思う​ほど​時間は​かかりません。​特定の​個人向けに​内容を​カスタマイズした​迷惑メールは、​多くの​場合数分で​作成されます。​ハッカーは、​ユーザーが​インターネット上で​公開している​情報を​利用できます。​これは、​ユーザーが​暗号通貨に​関する​情報を​公開している​場合などに​問題に​なります。​たとえば、​10,000 ビットコインを​保有している​ことを​公表している​ユーザーは、​この​情報が​サイバー犯罪者に​狙われても​文句は​言えません。

Micklitz: これは​たとえるなら、​市場の​真ん中に​立って、​メガホンを​使って​自分の​銀行口座の​残高を​発表しているような​ものです。​そんな​ことを​する​人は​いませんよね。​しかし、​人は​インターネット上の​こととなると、​リスクを​正しく​評価できなくなる​場合が​あります。

迷惑メールの​他に​問題に​なっている​ことは​ありますか？

Risher: デバイスと​サービスが​接続されるようになったことも、​Google に​とって​大きな​課題と​なっています。​ユーザーは​インターネットに​接続する​際に、​ノートパソコンや​スマートフォンだけではなく、​テレビ、​スマートウォッチ、​スマート スピーカーも​使用しています。​これらの​デバイス上ではさまざまな​アプリが​実行されており、​ハッカーに​対して​攻撃の​足が​かりを​多数与えてしまうことになります。​さらに、​現在では​多くの​デバイスが​接続されている​ため、​ハッカーは​ 1 つの​デバイスを​使用して​他の​デバイスに​保存されている​情報に​アクセスできます。​このように​多様な​新しい​使用習慣が​ある​中で、​どの​ように​して​ユーザーの​安全性を​確保するかと​いう​問題に​対処する​必要が​あります。

Micklitz: ​その​ためには​まず、​各サービスで​本当に​必要な​データは​何か、​サービス間で​交換される​データは​何かを​見極めなければなりません。

ユーザーの​保護に​ AI を​どのように​活用していますか？

Micklitz: Google では​ AI を​かなり​前から​使用しています。

Risher: AI　は、​Google の​メールサービスである​ Gmail に​最初から​組み込まれていました。​また、​Google はTensorFlowと​呼ばれる​独自の​ ML ライブラリを​開発しました。​ML に​携わる​プログラマーは、​この​ライブラリを​使用する​ことで​スムーズに​作業を​進める​ことができます。​TensorFlow は​典型的な​パターンを​認識する​ことに​長けている​ため、​特に​ Gmail で​メリットを​発揮します。

この​パターン認識は​どのように​機能するのですか？

Risher: た​とえば、​複数の​ユーザーで、​Google が​分類できないような​不審な​アクティビティが​検出された​とします。​自動学習型の​人工知能は​これらの​事象を​比較し、​最良の​シナリオでは、​インターネット上に​広まる​前に​新手の​詐欺を​検出できます。

Micklitz: ただし、​機械は​それを​使う​人間と​同じ​程度に​しか​賢くなれないため、​限界が​あります。​機械に​誤った​データや​偏った​データを​与えると、​機械が​認識する​パターンも​同様に、​誤った、​または​偏った​ものになります。​人工知能に​ついて​誇大な​宣伝が​行われていますが、​使う​人に​よって​その​効果は​異なります。​質の​高い​データを​使用して​機械を​トレーニングするか​どうか、​その後で​結果を​チェックするか​どうかは、​ユーザー次第です。

Risher: 以前に​別の​メール プロバイダに​勤めて​いた​ときに、​ラゴスに​ある​銀行の​従業員から​メッセージを​受信しました。​当時、​ナイジェリアから​送信された​と​思われる​詐欺メールが​大量に​出回っていました。​その​男性に​よると、​勤務先は​信頼の​おける​銀行であるにも​かかわらず、​送信した​メールが​毎回​受信者の​迷惑メールフォルダに​振り分けられてしまうとの​ことでした。​これは​パターン認識で​ありがちな​誤った​一般化で、​与えられた​情報が​十分でない​場合に​起こります。​この​問題は​アルゴリズムを​変更する​ことで​無事解決できました。

.

写真: Conny Mirbach