読者です 読者をやめる 読者になる 読者になる

中堅企業IT部門の日常

中堅企業IT部門の中間管理職で半研究者の雑談です。毎週火曜日更新予定

セキュリティ被害を少しでも抑えるために

情報漏洩は、毎日のように起こっていて最近は麻痺しつつあります。こちらを書籍を読むと、どれだけ個人情報が裏で取引されているかよくわかります。

闇ウェブ (文春新書)

闇ウェブ (文春新書)

 

 

あなたの情報漏れてませんか?

 まずは、現在の情報漏洩の話から。

 個人情報は日々漏洩しています。脆弱なサイトなんていくらでもあり、WEBサービスを活用すればするほど、どこかから漏洩していきます。あなたの使っているメールもいくつかは漏洩しているかもしれません。まずは、こちらでチェック!

haveibeenpwned.com

 

さて、基本的にはどうやったって個人情報は漏洩しそうな今日この頃ですが、被害を少しは抑えるために対策になりそうなことを。

 

覚えられないパスワードなら紙に書いてしまえ

むかしむかし

「パスワードは紙に書いて残してはダメ」

など言われたので、暗記できるように、同じパスワードを使っているのかもしれません。もしくは、単純なルールで使い回すなどしているかもしれません。

 

でも、これが一番最悪です。どこか一カ所でID, Passが漏えいしたとして、それを別のサイトでも利用しているとなると、どんどん被害が広がります。セキュリティ意識の低そうな情報サイトと何か決済の絡むサイトなどで同じID, Passなど使っていると被害は大きくなります。出会い系サイトと決済サイトで同じID,Passを利用するなどは自滅行為です。(出会い系サイトがどれほど危ないかは前述の本にあります。)

 

単純なパスワードを頭で覚えるくらいなら、全サイトで複雑なパスワードを個別で設定して、紙に書いておくほうがまだましです。もしくはPCに付箋で貼っても、ほんと使い回すよりまだましです。

 

以前は、セキュリティの研修を受けると必ずスキャベンジングという職場のゴミをあさりによるパスワード盗難や、職場に物理的に入って写真を撮るなどの手法が紹介されていました。そして、紙に書くのを避けるように強く言われてました。

しかしながら、今となっては、そんなリスクも手間もかかる方法は使いません。あなたが国家の重要人物でもない限り、そんなわざわざ物理的に建物に侵入して捕まるようなリスクは犯しません。WEBで脆弱性のあるサイトを狙った方がずっと効率的に情報が収集でき、儲かります。

 

gmailのエイリアスを使う

パスワードはすべて変えられるけど、メールはそこまで変えられないという方は、gmailのエイリアスも一つの手段です。

gmailのエイリアスでは、メールアドレスの後にプラスをつけると別の文字列を同じメールアドレスで受けることができます。

例えば、XXX@gmail.comというアドレスを持っているとすると、

XXX+YYYY@gmail.com

XXX+WWW@gamil.com 

XXX+ZZZZ@gamil.com

 

というように、本来のメールアドレスに”+文字列”というアドレスも利用できるようになります。そして、ここある3つのアドレスは、すべてXXX@gmail.comというメールボックスに届きます。

詳細はこちらにあります。

Gmailで使用可能な別名アドレス(エイリアス) - Gmailの使い方

 

で、この機能を使えば、各サービスごとに登録アドレスを変更することが容易になります。

例えば、

Linkdinは、XXX+abc@gmai.com

Amazonは、XXX+def@gmai.com

など登録でき、それらの認証はすべてXXX@gmail.com宛てに届きます。

こうすると、各ログインについては、違う文字列のメールアドレス(XXX+def@gmai.com等)を入れる必要がありますが、管理は、XXX@gmai.comの一つでできることになります。

万が一Linkedinで漏洩したとしても、同じメールアドレスでamazonにはログインされることは無くなります。

確かに、"+"以降の部分を推測されやすくしているとあまり意味がないかもしれませんが、少なくともちょっとした手間で、リスク低減できるのでオススメです。

 

と、ここまでいろいろ書いてきたのですが、まあ、こんなことやっても無駄だよねというのが次回のお話です。

 

 (情報は予想以上にダダ漏れです。)

闇ウェブ (文春新書)

闇ウェブ (文春新書)

 

 

ブログランキング・にほんブログ村へ