備えておきましょう。
日々私達を脅かす、サイバー攻撃やデータ漏洩の報道。これらに対して、一般人の私達が備えられる防御策はあるのでしょうか?
実は、シンプルに多要素認証を有効にするだけでも、オンラインアカウントを保護するのに絶大な効果を発揮します。ニューヨーク大学やカリフォルニア大学サンディエゴ校の研究結果が、物理セキュリティキーやデバイス認証、SMS認証などの手軽な認証方式がいかに強力なのかを明らかにしています。
物理セキュリティキーがベスト
アカウント乗っ取りを防ぐベストな方法は、物理セキュリティーキーです。Googleのようなウェブサイトではユーザーにパスワード以外の自分を証明する要素を設定することができます。そこにYubicoやFeitian、そしてGoogleの物理セキュリティキーを設定する事ができるんです。
調査結果によると、検証したすべての種類のアカウントの乗っ取りが100%阻止できたというのです。Googleによれば、セキュリティキーを使いはじめて以来、Google社員のアカウントが乗っ取られたケースはないそうですよ。
なお、Googleは最近Bluetooth対応のセキュリティキー「Titan」をリコールしており、絶対に絶対、というわけではないようです。しかし、ジャーナリストや政治家、人権活動家、そしてサイバーセキュリティが生死を分ける人にとっては、非常に役立つツールでしょう。
デバイス認証も有効
もう一つの強力な方法は、デバイス認証です。「Google Authenticator」のような認証アプリを使った方法がこれに当たります。調査によれば、ボットによる攻撃の100%、フィッシング攻撃の99%、標的型攻撃の90%を撃退できたそうです。
SMS認証は弱め
なお、先週にはSMSメッセージによる2段階認証は別の方法に比べてセキュアではない、という話がありました。Googleによれば、SMS認証は物理セキュリティキーやデバイス認証に比べて効果が薄いのは確かですが、それでも利用しないよりはずっと安全です。研究者によれば、SMS認証によってボットによる攻撃の100%、フィッシング攻撃の96%、標的型攻撃の76%を防げたそうです。
さらに研究者のKurt Thomas氏とAngelika Moscicki氏による1年の調査によれば、「Googleアカウントに回復用の電話番号を追加することで、ボットによる攻撃の100%、フィッシング攻撃の99%、標的型攻撃の66%が防げた」としています。また、2つ目のメールアドレスを追加することも、アカウント乗っ取りへの有効策だとしています。
ハッカーによる攻撃を恐れるよりも、具体的な対応策を。今からでも、自分のアカウントで試してみましょう。
Source: Gizmodo US
