ネットワークセキュリティの専門家である翁浩正が、曾博恩のインタビューを受け、現在のネットワーク上のサイバーセキュリティ問題について深く分析している。翁浩正は、人工知能の普及にともない、ハッカーが自動化ツールを使って人間の思考ロジックと脈絡を見抜き、アカウントへ侵入できるようになったと指摘した。これにより、従来のセキュリティ防御の考え方が厳しい課題に直面していると述べ、彼は「パスワードの複雑さはもはや重要ではない。ポイントは、それが十分に“特別”であることだ」としたうえで、これまでで比較的有用な防御手段として「生物辨識」または「加密」を用いたパスワード管理ツールを挙げた。
スマート電球も攻撃国家の武器になってしまう?
インターネットが普及した環境では、スマート電球のような家庭用デバイスも、ハッカーが大規模なネットワーク攻撃を仕掛けるための「足場(踏み台)」になり得る。ユーザーが初期パスワードを変更しない、または「12345678」のような弱いパスワードを使用している場合、ハッカーは自動化されたスキャンツールによって、容易に支配権を奪取できる。
一度支配権が奪われると、ハッカーはそのデバイス自体だけを狙うのではなく、それを拠点にして真の身元を隠し、国防機関や政府機関などの重要な目標に攻撃を仕掛ける。この行為により、捜査当局がデジタル上の痕跡を追跡する際、直接その物聯網デバイスの所有者の IP 位址へ行き着いてしまい、一般の人々が意図せずしてハッカー行為の身代わりの罪を背負うことになる。多くのユーザーがこの種の家庭用デバイスの安全性に警戒心を持っていないため、家庭用のスマート機器は、現在のネット犯罪において隠蔽性が非常に高い攻撃ルートとなっている。
初期パスワードは長いほど、システムはより先進的で安全!
翁浩正は、従来のサイバーセキュリティシステムに対して批判を述べ、とりわけ「定期的にパスワードを変更する」または「強制的に特殊文字を含める」といった規範を挙げた。彼は、パスワードの「長さ」と「予測不可能性」が、現代のハッカー攻撃に対する防御においてより実効性が高いと強調している。現在推奨されるパスワードの長さは 14 から 20 個の文字の範囲であるべきであり、または長いフレーズを組み合わせるべきだとも述べた。もし旧世代のネット時代のサイトなら、エンジニアは初期パスワードを 8 桁以内に設定するだけだった。ところが、ユーザーが、元のパスワード末尾に感嘆符を 1 つ増やすといった、予測しやすいパターンを採用すると、現代の解読技術の前ではほとんど防御力がない。主な理由は、ハッカーが別の方法でユーザーの思考を理解できるためであり、たとえば 1234567 に特殊記号を足すだけなら、計算によって簡単に導き出されてしまうからだ。
パスワード管理ツール、多重身分驗證は便利さと安全性の両立が可能
個人アカウントの防護について、専門家はパスワード管理ツール(Password Manager)と多重身分驗證(Multi-Factor Authentication, MFA)の使用を推奨している。パスワード管理ツールは、異なる各アカウントに対して数千組の独立したランダムなパスワードを生成し、単一アカウントが侵入されても連鎖的な影響が起きるのを防ぐ。たしかに高度なハッカーは多要素驗證を迂回しようとする可能性はあるが、SIM Swapping「SIM カード交換」や AI 駆動の自動化されたフィッシング攻撃を阻止するうえでは、多重身分驗證は現時点で便利さと安全性のバランスを最も効果的に取れる手段だ。
精神的疲労も漏洞(脆弱性)を生む
サイバーセキュリティ技術が進化し続けている一方で、精神的疲労が引き起こす人為的な不注意が、最大の漏洞(脆弱性)であり続けている。近年よく見られる Push Fatigue Attack「プッシュ疲労攻撃」とは、ハッカーが被害者に対してログイン認証要求を大量に連続して送信し、被害者が不快だったり気が散っていたりする状態で、無意識に「同意」または「許可」をクリックさせようとするものだ。人間の行動特性を狙うこの攻撃手法は、技術的な防御だけでは不十分であることを示している。
ユーザーがデジタル上のリスクを管理するには、明確な意識を持つ必要がある。重要度の高いアカウント(たとえばネット銀行や電子メール)については、最高レベルの安全設定を採用し、すべてのサービスを同じ防護レベルに置くべきではない。専門家は、こうした注意喚起として、安全と便利さの間には必ず折り合いが必要であり、最大の脅威は往々にして、デバイス設定の見落とし、または操作プロセスへの過度な依存から生まれると指摘している。この種の人間の弱点は、自動化ツールが最も突破しやすい部分だ。
パスワード管理ツールはどのように選ぶ
現時点で市販されているパスワード管理ソリューションには、さまざまなものがある。独立したアプリケーション(例:1Password)や、ブラウザに内蔵された保存機能(例:Google Chrome または Firefox の内蔵ツール)などだ。ブラウザ管理ツールは利便性が高い一方で、コンピュータの実体的な管理権限を他人が握ってしまうと、パスワードの漏えいリスクが存在する。専門的なパスワード管理ツールは、ユーザーが 1 つの強力な Master Password「マスターパスワード」を覚えておくだけでよく、それ以外の複雑な加密プロセスはソフトウェアが処理する。
パスワードを保存するだけでなく、これらのツールにはネットワークフィッシング(Phishing)防御において顕著な利点がある。ユーザーが誤って詐欺サイト、またはフィッシングページに入力してしまうと、パスワード管理ツールは URL(URL)の不一致により、認証情報を自動入力しない。これは、目視では偽装された URL を見分けられずに個人情報を漏らしてしまうことを効果的に防ぐことにつながる。専門家は、どのような評判のよい管理ソフトを選んだとしても、その安全性は複数のサイトで同一の簡単なパスワードを繰り返し使うという旧来の習慣よりもはるかに高いと強調している。
この記事 ネットワークセキュリティの専門家、翁浩正が曾博恩にインタビューされ、「ハッカー」がどのようにネットのパスワードを盗むのかを共有! 最初に現れたのは 鏈新聞 ABMedia。
