データ流出に対する防御力を1上げるためには何が必要か

Blog Single

ネット社会であるこのご時世。
何かしらのツールやアプリにアカウント登録している人がほとんどでしょう。
そんな中、ニュースで度々見かけるユーザーデータ漏洩問題。
ここ最近もFacebookハッキング関連のニュースが何度か話題になっていました。

Facebook曰く:アタッカーが連携アプリにアクセスした「形跡はない」

このニュースを見た人は大勢いると思いますが、それを受けて何かアクションした人は一体どれくらいいるでしょうか。

「聞いたところでどうしたらいいか分からない」
「どうせ私たちユーザーは何もできないでしょ」
「漏洩させてしまう側がよくない!」

このように考えている方も多いと思います。
データ流出に関する情報を知っている知らないに関わらず、それに有効な防具(対策)を装備しなければ防御力は変わりません。
というわけでこの意識が少しでも変わるように、漏洩の主な原因を挙げてその対策を見ていこうと思います。

流出元

Facebookの件があったばかりなので、今回はこれまで実際にSNSで起きたものをとりあげてみましょう。

  • サービス側コンピュータへのハッキング
  • ウイルス感染
  • Wi-Fiからのハッキング
  • 他サービスからの自動ログイン

1つ目はサービス側のみ、
ウイルス感染とWi-Fiからのハッキングに関してはサービス側と我々ユーザー個人どちらにも起こりうるものです。
この中でも独特なのは、

自動ログイン(ソーシャルログイン)

これについては馴染みのない方もいるのではないでしょうか。
最近他サービスのログインで「SNSアカウントでログインする」といったような連携機能をもっているものが増えていますよね。
この連携を利用して個人情報を送信してしまうケースで、サイバー攻撃によるものではありません。
もはやユーザー本人が情報送信を許可してしまっているも同然なので厄介なところです。

▶︎ 「自動ログイン」に注意 フェイスブック個人情報流出  :日本経済新聞
▶︎ Facebook診断アプリに注意 情報流出の被害、友達にも 対策は – ITmedia NEWS

我々ができる対策

パスワード変更

よく対策として「定期的にパスワードを変えましょう」と言いますが、最近ではその概念も逆に危険だと言われています。

パスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
総務省 セキュリティ対策HPより抜粋

あくまでも漏洩があった場合だけでいいと言っていますね。
パスワード変更が有効的でない場合もあるようなので、その時々のケースに応じて決めるのが良さそうですね。

個人情報の整理

漏洩するのは単にログイン情報(メールアドレスやパスワード)だけではありません。
皆さんはどれだけの情報をサービスに渡しているか正確に把握していますか?

たとえばFacebookでは自分のデータをダウンロードすることができます。(ダウンロード方法詳細はコチラ
そこに含まれるデータを見てみると、まぁ多いこと!!

▶︎ Facebook データダウンロードに含まれるデータの種類一覧

このうちどれからどこまでが流出するかわからないとなると不安になりますね…
そうならないためにも、公開する情報を自分で管理することが一番の近道です。
管理といっても難しくありません。
情報を非公開未設定にするだけで防御力は格段に上がります。

連携サービスのアクセス権を外す

自動ログインにおける対策としては、アクセス権管理をすることです。

▶︎ 防げ個人情報漏洩! SNSアカウントに紐付いているサービス・アプリを把握・整理するワザ

このサイトにも書いてありますが、「電卓アプリなのに、居住地や学歴、いいね! した先などの情報は不要なはず」と。
全くその通りですよね。一体何に使うんだ。
連携そのものを解除したくないものもあるとは思いますが、連携中のサービスと共有する情報は本当に必要なものだけでいいわけです。
アクセス権管理はそこを選択していくこととして重要になります。
この対策で完全に無事で済むほど防ぐことはできませんが、漏洩する情報量を最小限まで抑えることは可能です。

最後に

上記以外にも効果的な手段はあると思いますが、簡単かつすぐに対処できそうなものとして挙げました。
是非皆さん忘れないうちにパパッと上の対策だけでもやってみてはいかがでしょうか。
冒頭で言った「どうせ私たちユーザーは何もできない」。
私もエンジニアになる以前なら多少なりともそう考えていましたが、最近ではこういったニュースを見る度調べていくうち、漏洩に至るバックグラウンドを知ってかなり意識が変わりました。
時代が進めば漏洩元もさまざまな形のものが増えていくので難しいところではあるのかもしれませんが、サーバー側に頼りすぎず自分の身は自分で守ろうとするのが重要ですね!

参考

⇐ Google Cloud Speech APIを使って音声ファイルを文字起こしする
PaizaCloud無料版で24時間以内に学習せよ ⇒
Posted by Mao Miyaji
千葉にある夢の国を愛して止まない、元「魚のお姉さん」のエンジニア。PHP, TypeScriptメインで、暇さえあれば色々な言語を一かじり。

Other Posts:

Swift de 脳トレアプリ 第2章

  • 2019年01月22日

Swift de 脳トレアプリ 第1章

  • 2018年12月06日

プログラムを共食いさせる

  • 2018年11月20日

人が評価する時代は終わるのか

  • 2018年11月16日

What's FOXHOUND Tech

当サイトはFOXHOUND株式会社のメンバーによる技術記事投稿サイトです。


FOXHOUND TECH

AD
Advertisement