Lucas Lundgren
オンラインでの存在をコントロールする一番の方法は、個人のメールアカウントをハッキングすることです。そして、それが恐ろしいほど簡単であることが最新の調査結果で明らかになりました。
コンピューターセキュリティ会社 IOActive の Lucas Lundgren 氏が実施した最新の調査によると、Web サイトがユーザーパスワードのリセット要求に対してどのような手続きをとるか熟知しており、対象のオンライン生活を深掘りして重要な情報を探し出す忍耐力さえあれば、個人のメールアカウントをハッキングできることが分かりました。プライベートな情報はもちろんのこと、銀行やクレジットカードの請求書、もしくは業務に関わるドキュメントを個人のメールアカウントで受信している人は、この結果を非常に恐ろしく感じるかもしれません。
調査にあたり、Lundgren 氏は友人の許可を得た上で Gmail アカウントのハッキングを試みました。まず始めに同氏は、アカウントのパスワードをリセットできないか調べました。その過程で、同氏は友人が Hotmail アカウントを持っていることを知りました。しかし、正しいアドレス名は分かりません。そこで、Lundgren 氏は友人の Facebook アカウントを参照し、親しい友達と思わしき人物の偽 Facebook アカウントを作成しました。その後、偽 Facebook アカウントから友人に友達申請を出し、承認された結果、友人の Hotmail アカウントを見事に入手できたのです。
Hotmail アカウントのパスワードをリセットするため、Lundgren 氏は「秘密の質問」の答え(母親の旧姓)を探すため、友人の Facebook ページをくまなく調べました。これで最終目的である Gmail アカウントのハッキングまで、あと一歩のところまで近づきました。続いて、Gmail アカウントにパスワードのリセットを申請し、ハッキング済みの Hotmail アカウントに申請関連のメールが送られてくるのを待ちます。こうして、Lundgren 氏は友人の Gmail アカウントへの侵入に成功したのです。
冗談半分で、同氏は同じ手法で友人の Facebook アカウントにもハッキングを試みました。これも成功したことで、Lundgren 氏は友人のオンライン生活を手中に収めることができました。Gmail アカウント内の情報を使えば、iTunes やオンラインストアなどで購入することもできます。
Gmail では2段階認証のオプションを提供しており、有効にすることで、1 回限り使用できるセキュリティコードがモバイルアプリに送信されます。標準パスワードの入力時には、このコードを併せて入力する必要があります。ただし、これはオプションに過ぎません。重要な情報を扱うためにログインを求めるサイトの多くは、こうした機能を提供していません。
誰かのオンライン上のアイデンティティをこれほどまで簡単にハイジャックできることを知った Lundgren 氏は、オンライン上で公開する情報を制限するよう呼びかけています。特に危険なのは Facebook、と同氏は指摘します。また、追加の対策として、メールに重要なデータを保存しないことを Lundgren 氏は提案しています。銀行の明細書やクレジットカードの請求書などは印刷して紙として保管し、オンラインからは削除するべきだと述べています。
結局のところ、用心するに越したことはないのですから。
ヒント