先日、オンラインでスニーカーを売買するためのプラットフォーム、StockXがパスワードのリセットをユーザーに要求しました。
理由は「システムアップデートが最近完了したから」でした。ところが実は、同社は今年5月に大規模な情報漏えいを起こしていたのです。
そして、流出したデータの一部にアクセスした記者に追求されて、ようやくそのことを白状したのでした。
つまり、StockXはうそをついていたのです。最終的に、同社はこの情報漏えいの詳細を明らかにしました。
ですが、なぜ状況の把握にこれほど時間がかかったのかについては、いまだに説明されていません。
いったいなぜ、パスワードのリセットを要求する怪しげなメールで状況を複雑にしなければならないと考えたのかについても、説明はありません。
ほとんどの企業はセキュリティの情報開示に責任を持っています。けれども、その一方で、自社に影響を及ぼす重大なセキュリティ違反に関する情報が明るみに出ないのなら、そのほうがいいと多くの企業が思っていることもたしかです。
企業というものは、漏えい事件の詳細を明らかにしなければならない場合でさえ、用心深くなるものです。先日のCapital Oneのケースがまさにそうでした。
そのサービスを気に入って利用しているあらゆる企業に対して、探偵やジャーナリストのような役割を演じることは、あなたの仕事ではありません。
ですが、情報漏えいに対する安全性を高めるために、頭の片隅にとどめておくべきことがいくつかあります。企業が情報漏えいを正直に明かしていない場合は、とくにそうです。
パスワードのリセットを要求されたら怪しむ
これについては考えるまでもないでしょう。
とはいえ、触れておく価値は十分にあります。ウェブサイトやサービスが突然、パスワードのリセットを要求してくるのは、何か問題がある時です。
あなたのメールアドレスやユーザーネームが、ほかの企業で起きた情報漏えいに巻き込まれていることが判明したために、両方のサービスで同じパスワードを使用している場合に備えて、あなたのアカウントを守ってくれようとしている、というケースも中にはあるでしょう。
ですが、そのような場合でも、まだ疑ってかかったほうがいいでしょう。
ニュース(あるいはTwitter)をチェックして、その会社自身の情報漏えいが報告されていないか確認しましょう。
「Have I Been Pwned」「Watchtower」を利用する
企業が情報漏えいについて公表していないケースがまれにあります。そのような場合は、ほかの誰かに警戒の目を光らせてもらうのが得策です。
個人情報が漏れていないかチェックできるサイト「Have I Been Pwned」に登録して、あなたのメールアドレスがハッキングに巻き込まれてしまった場合は教えてもらいましょう。
パスワードマネジャー「1Password」のユーザーは、自分の認証情報が漏えいに巻き込まれてしまったかどうかを確認できるビルトインツール「Watchtower」を活用しましょう。
毎週(毎日?)のように起きている情報漏えいを把握するには、これがうってつけです。
「脅威分析」を自分で行なう
米Lifehackerで働いていると、さまざまな情報漏えいについての記事を読む機会に恵まれます。その中には、米Lifehackerが報じるものもあれば、報じないものもあります。
通常は、ハッキングがそれほど興味を引かない情報(メールアドレスや靴のサイズなど)にしか影響を及ぼさない場合は、もっと重要なデータ(口座番号やプレーンテキストパスワード、社会保障番号など)が関わっている情報漏えいと比べれば、議論する価値はあまりありません。
企業があなたの情報に影響を及ぼす漏えいを打ち明けた時には、常に彼らの言葉を疑ってかかりましょう。
その企業のサービスに送ったすべてのデータが漏れてしまったつもりで、しかるべき行動を取りましょう。
関連するクレジットカードの利用明細に特別な注意を払う(あるいは、何かしらの通知やアラートを設定する)「ほかのサイトのパスワードを変更する」「クレジットレポートを凍結する」などといった対策を講じましょう。
一見するとたいしたことのないハッキングでも、もっとひどい事態につながるかもしれません。それがいつ起きるかは、誰にもわかりません。
少し「過剰反応」に聞こえるかもしれませんが、先を見越してデータセキュリティ対策を講じるのは、決して悪いことではありません。
慎重な対応を取るのもいいでしょう。
例えば、過去にそこで買い物をしたことがあるサイトに不正アクセスが発生したからといって、いちいちクレジットカードを交換する必要はないかもしれません。
ですが、翌月・翌々月の利用明細については、リマインダーを作成して、少し細かくチェックしたほうがいいでしょう。
見切りをつけることもひとつの対策
あなたのプライバシーやデータセキュリティに大きな影響を及ぼしうる問題が発生しても、うそをつき通す企業のサービスなら、利用し続ける必要などありません。
あなたのデータを守るために進んで努力する企業、あるいは少なくとも、何か事件が発生した時には正直に教えてくれる企業をほかに見つけましょう。
私はどんな場合でも、うそをつく企業ではなく、自分の罪を認める企業を選ぶようにしています。
あわせて読みたい
Image: DRogatnev/Shutterstock.com
Source: StockX, Have I Been Pwned, Gizmodo
David Murphy - Lifehacker US[原文]