コンピュータセキュリティにおいて、もっとも弱い継ぎ目となるのは往々にして人間である。そこで、サイバー犯罪の思惑に陥らないようにミスを食い止めるにはどうしたらいいだろうか。

ITサポートに電話をかけると、電話の向こう側のオタクがあなたをバカだと思いこんでいる。深くため息を吐きつつ横柄な口調で、投げやりな言い方をする。

実際に彼らは私たちを「PEBKAC」と呼んでいる。Problem Exists Between Keyboard And Chair（問題の発生源はキーボードと椅子の間）、つまり私たち自身のことである。

ただ傲慢に怒り散らす前に自問してみよう。最後にバックアップを取ったのはいつだったか、同じパスワードを使用しているオンラインアカウントの数はいくつか、送信者をしっかり確かめずにメール内のリンクをクリックした回数は何度あるか。

ポルノ好きなアメリカの役員が政府のネットワークにマルウェアを拡散

毎年、私たちはパスワードの選び方がどれほど杜撰だったのか思い知らされる。分かりやすくダメな例として「123456」や「パスワード」から、ほんの僅かに改善した「12345678」や「管理者」まである。

これまで侵入事例から抜き出したリストによると、他に人気があるのは 「letmein」「iloveyou」「welcome」「monkey」がある。

こんなパスワードを使っていたら、二歳児が数時間、キーボードをオモチャのハンマーでたたいている内にアカウントに侵入できてしまうだろう。

事実、私たちは無知なのである。

「多くの人々がパスワードを忘れ、IT部署に発行してもらった一時的なパスワードを使い続けます」と語るのは、認証およびアクセス管理会社のonelogin社のIT部tp氏である。

「問題なのは一時的なパスワードが一ヵ月以上使用されるケースです」

つまり、大規模の企業では数百人の人々が同じパスワードを使用している危険性が潜んでいるのだ。

「これが原因でパスワードスクレイプ攻撃（代表的なパスワードを集めて、数百万のアカウントに対してログインを試行する手法）に弱くなります」とp氏は語る

「ハッカーたちは5000~6000回のうち1回はログインに成功します」

ひとたびシステムに侵入すれば、ハッカーは暴れ回れるようになる。

パスワード弱者にならない方法

・自身が扱える最長のパスワード（最低でも八文字以上）を使用する。

・記号と数字を含めた大文字と小文字を織り交ぜる。

・推測しやすそうな言葉は避ける。子供や配偶者やペットや好きなスポーツチームの名前など。

・他の人とパスワードの共有を避ける。

・サービスやサイトごとに異なるパスワードを使用する。

・二段階認証を使用する。

・Dashlane、Sticky Password、Roboformといったパスワードマネージャーソフトの使用を検討する。

イギリスの全英サイバーセキュリティセンターでも、効果的なパスワードの選択と運用方法について豊富なアドバイスを公開している。

大きなデータ侵入事件はほぼ週間ペースで発生するようになっている。この数か月のうちにFacebook、Cathay Pacific、British Airways、Reddit、Wonga、Dixons Carphoneが被害企業の長い一覧の一部に入った。

・BBCニュースが報道するサイバーセキュリティ例だけではない

二段階認証（ログイン機構の最前に、手持ちのスマホやドングルを使ったもう一層のセキュリティ層を構える方法）はだんだんと一般的になり、特に声、指紋、顔面を認識する生体認証を使用するものが目立つ。

しかしこれらを企業内で導入するには不向きである。通常のデスクトップパソコンに指紋リーダーやビデオカメラは組み込まれていないからだ、とp氏は指摘した。

また必要もなくリンクをクリックして、コンテンツのダウンロードをする点などは、私たちはまるで愚かである、と語るのはサイバーセキュリティ会社Bromium社の共同創設者であるIP氏である。

数多くのリンクが、企業のセキュリティシステムを無視して侵入するように設計され、データを盗んだり、コンピュータの遠隔操作さえ行うプログラムを指すマルウェアと共に読み込まれている。

「99%以上（の悪意のあるリンク）はターゲットを意図しない、汎用的な犯罪用マルウェアで、乱暴に拡散を試みるものの、特別に精巧な仕掛けを施されているわけではありません」

マルウェアは簡単な仕組みで効果をあげているのだ。

「弊社に寄せられた侵入例の70%以上が、一台のパソコンを使用している不用意なユーザによるクリックなどの操作で、攻撃主をネットワークに侵入させています」とp氏は語る。

そして苦境に立たされてきたIT部署は、近年は仕事だけではなく、プライベートにも使用する携帯電話、ノートパソコン、タブレット端末が大量に増えたことで、更に厳しい環境に身を置く事になっている。

以上のことから、大企業の多くはデスクトップパソコンの機械音痴対策に焦点を当てているのだ。

Bromium社のテクノロジーは各パソコンと、その機能のすべてを独立させること（専門用語ではサンドボックス化という）で効果をあげている。

「各種問題の大半を効果的に解決するには、自身のコンピュータを買うことです。そして作業を完了した直後に、ノートパソコンを投げ捨てて新しいパソコンを取り出すのが効果的です」とP氏は語る。

こうすれば悪意のあるリンクをクリックしたとしても、マルウェアが孤立して、ネットワークの他の端末に感染する逃げ道がなくなるのである。

しかし広大なITネットワーク中で、常に注意し続けながら使用するのは非常に難しい。そう語るのはBarclaysの元最高技術責任者であり、現在はセキュリティ企業Veracodeのコンサルタントを務めるPF氏である

保有しているIT資産の範囲と内容を把握できていない大企業は「ごくありふれている」とも語る。

Veracode社が主要市内のある銀行に対して実施したプロジェクトでは、同銀行が持つ1800のウェブサイトが記録されていないことを確認した。

「実態は彼らが想定していたよりも50%大きかったようです」とF氏は語る。

そして彼らの無知は企業のネットワークに接続しているコンピュータ（専門用語では端末という）の数にも及ぶ、と語るのはセキュリティ会社ECSの創立者であり代表を務めるND氏である。

同氏のとあるクライアントは管理しているコンピュータが40万台以上あり、他にも同規模のクライアントをいくつか受け持っている。

「そのコンピュータには相当な量の情報と、顧客データや内部システムのパスワードといったありとあらゆる情報が、ローカルでクレデンシャル情報をキャッシュしている、簡単なシングルサインオンアプリに格納されている」と同氏は語る。

言い換えれば、ハッカーにとって、数十万台のパソコンの中の一つが財宝の隠し場所になるということだ。

「一回の攻撃が通れば、企業全体が陥落します」とD氏は語る。

www.bbc.co