モバイルデバイスやインターネットはもはや私たちにとってのライフラインです。特に今、気軽に外出もできない状況においては、インターネットを介したショッピングやバンキングなどがなければ生きていけません。それだけに、サイバー世界のセキュリティは日常の防犯同様、気を付けるべきことです。
おそらく将来、映画や漫画の世界のようにヒューマノイドが人間同様街を歩く時代になれば、セキュリティもAIがステキに解決してくれると信じています。しかし、そこに至るまでは私たち人間が少しだけ学び、少しだけ歩み寄るしかありません。そこでこの連載では、サイバー空間での活動が全盛となるであろう2020年代の最後、「少しだけ未来」である2029年を無事に迎えられるよう、今、この時点でセキュリティ向上のために何ができるかを一緒に考えていきたいと思います。
先日、「自分が保持するメールアドレスを、他人が各種サービスに登録してしまう」問題を取り上げたITmedia NEWS 松尾氏の記事が非常に話題になっていました。SNS上の反応を見ていても、まさに同じ悩みを抱えているといった共感の声も多く、意外とメジャーな問題であることが分かります。
実は私も8文字のGmailアカウントを初期に取得しており、それがイニシャル1文字+名前という構成であるためか、日本国内のみならず海外に住む日系のタケシさん(仮名)まで、さまざまな人に間違えられています。
著者の連載「半径300メートルのIT」これまで来た間違いメールは各種メールマガジンに始まり、大阪の図書館での図書返却依頼、さらにはどこかの橋を建設するに当たっての設計図など多岐にわたります。
根本的な解決は2つしかありません。利用者が気を付ける、そしてサービス運営側が「登録時にメールアドレスの存在性をきっちりと確認するフェーズを入れる」です。正確には後者のみさえ実装されれば、こんなことに苦しむことはないでしょう。
多くの場合短めのGmailアドレスを取得しているのは、おそらく古くからネットの世界にいる住人でしょう。結果的にそういう人たちが被害に遭うため、自分が登録すらしていないサービスが、それなりにネット知識のある人たちに酷評されてしまうことにつながります。おそらくサービス運営側は、登録時に複雑な手順を課すことで離脱されやすくなってしまうなどと言い訳をするでしょうが、やはりしっかりとメールアドレス入力→メール送信しテキスト内のURLをクリックさせることでメールアドレスの所持者であることを確認、という流れを実現すべきだと思います。
とはいえ、もはや現状を全て変えることはできないことも事実。個人的にも本当に困る事象です。
独自ドメインで運用するメールの事情
もう一つ、メールに関して最近頭を悩ませている事象があります。私自身はGmailではなく独自ドメインのメールを運用しており、サブで利用していたGmailはほとんど見ることはありません。間違いメールが来ても無視すればよいというスタンスでしたが、最近のサイバー攻撃を考えると、独自ドメインのメールに関しても運用を気にしなければならないと考えています。
仮想通貨取引所を運営するコインチェックは2020年6月、サイバー攻撃を受けました。そしてそれはセキュリティ識者が騒然とするような手口でした。原因不明の遅延発生をきっかけに調査を進めていくと、なんとドメインの管理情報が乗っ取られていたことが判明したというものです。
私が独自ドメインを取った頃は「自分だけのメールアドレスはカッコイイ」程度の認識で運用を始めても問題はありませんでした。現在ではさまざまなサービスを、この独自ドメインのメールで取得しています。正しく運用できている間は問題がないと思うのですが、もしこれが奪われてしまったら、第三者は送られてくるメールをすべて奪うことができてしまうわけです。
悪意ある攻撃者ならば、メールが届く経路を不正に奪った後、著名なWebサービスに片っ端からパスワードリセットを送り、アカウントの権利を奪取するでしょう。おそらくほとんどのサービスは「メールアドレスを持つもの=正当な利用者」と判断しているはず。そうなると、独自ドメインのメールアドレスはメールサーバだけでなく、DNS設定も常にウォッチする必要があります。
中小を含む企業であれば、そういった点にも気を使えるかもしれません。しかし個人レベルとなると、もはやそこまでして維持すべきものだろうかと不安になってしまいました。ましてや、私が不慮の事故であの世にいってしまったとき、ドメインの継続ができなくなってしまうと大きな問題になるはずです。自分自身はこの世のものではなかったとして、家族や知人がそのドメイン配下にいたとしたら……心残りで成仏できないかもしれません。
令和時代のメール考
振りかえると、個人利用においてはもはや電子メールをほとんど使わなくなっているのではないかと思います。親しい間柄ならば、LINEやiMessage、SMSで事足りるでしょう。メールボックスを見てみると、サービスからのお知らせやメールマガジン、そしてスパムメールくらいしか入っていないのではないでしょうか。もしかしたらもはやメールは「サービス登録でしか使ってない」ものになっているかもしれません。
それでも携帯キャリアのメールならば残るだろうと個人的にも思っていましたが、NTTドコモが21年3月に開始を予定している新プラン「ahamo」(アハモ)では、なんとキャリアメールが使えないといいます。おそらく若者を中心に考えると、キャリアメールの利用頻度も相当に落ちているということでしょう。
つまり、「短いメールアドレスは間違われやすい」「独自ドメインよりもフリーメールのほうが安心して運用できる可能性が高い」「そもそもメールの利用頻度は落ち、知人の連絡手段になっていない」のが令和時代のメールが置かれた立ち位置であるとも考えられます。そして主な用途は「サービスの登録」。そこで私はメールの利用方針を変えました。非常にバッドノウハウ感が強い内容ですが……。
(1)Apple、Microsoft、GoogleのIDは、それぞれが用意したドメインのメールをそのまま使う
まずは、スマートフォンやPCを利用する上で避けては通れないアカウントに関して、Appleの場合は「@icloud.com」、Microsoftの場合は「@hotmail.co.jp」(など)、Googleの場合は「@gmail.com」と、独自ドメインではないものに戻しました。自分の管理よりは、セキュリティにしっかり投資しているIT企業のほうが正しい管理をしているだろうからです。もはやこれらの“フリーメール”が信頼できないとする人も少ないでしょう。
(2)新たに「長いユーザー名」のメールアドレスを取得する
これまで所持していたメールアドレスはそれなりに短く、しかも名前を基にしているため、別にやや長めの名前に由来しないIDを持つメールアドレスを取得しました。これであれば、第三者が間違って登録する可能性は低くなるはずです。
(3)主要ではないWebサービスは新規の「長いユーザー名」メールで登録する
そして、今後はそのメールアドレスをWebサービスの登録に使うようにします。主要ではない既存登録分も、ちまちまとメールアドレスを変更しました。きっかけは「(あまり有用ではない)メールマガジンが届いたら」でいいと思います。
副次的効果も(たぶん)ある
こうすることで、メインのメールボックスは徐々にきれいになっていくはずです。その上で間違いメールが来たとしたら、フィルタを使って見えないようにしてしまいましょう。
これはもう一つの効果として、私たちを苦しめる「パスワードの使い回しをやめよう!」という、正論だけどなかなか実現できないことの改善にもつながるはずです。つまり「パスワードの使い回しはそのままだけど、IDを使い回さない!」。新しくIDを作り直している形ですので、これまで漏えいしたIDとパスワードのセットとは無関係になります。
一時的には、ほんの少しですがサイバー攻撃への耐性も付くはずです(時間がたち新IDでの漏えいデータが広まると元通りですので、お金と人生に関わるサービスだけはパスワードを使い回さないことをお勧めします!)
世界を変えることができなければ、自分だけでも変わる必要があるでしょう。そんな非常に後ろ向きな対応ではありますが、この機会に登録サービスを見直し、不要なものはどんどん解約するというきっかけにもなるはずです。
メールというのは非常に古い仕組みで動いており、セキュリティ的にも根本的な対策がなかなか浸透せず、いまではマルウェアが侵入するきっかけのほとんどがメールという状況です。本来ならばもっと革新的ななにかが代替手段になるといいのですが、それが登場するまでは暫定的に泥縄な対策が求められるのかもしれません。
関連記事
からの記事と詳細 ( 我々はメールをどうしたらいいのか? 今使っているアカウントで10年後も乗り切れるか考えてみよう - ITmedia )
https://ift.tt/3hdbQnE
No comments:
Post a Comment