「公共Wi-Fiを避ける」「QRコードをスキャンしない」「公共のUSBポートでデバイスを充電しない」「パスワードを定期的に変更する」など時代遅れのセキュリティアドバイスを止めろと専門家グループが声を上げる
公共Wi-Fiは使っていますが、危ないと思っていました。以下は、記事の抜粋です。根拠を知りたいヒトは元記事をお読みください。
現役の情報セキュリティ責任者やセキュリティ専門家などで構成されるグループが、国民・企業・ジャーナリスト・政策立案者に向けて、インターネット上や公共のコラムなどで依然として広く流布されている誤ったセキュリティアドバイスである「ハックロア」を止めるよう求めています。
専門家グループはハックロアとして、以下の6つを挙げています。
1:公共Wi-Fiを避ける
公共Wi-Fiを介した大規模なセキュリティ侵害は、記事作成時点では極めてまれです。最新の製品は、オープンネットワーク上でもトラフィックを保護できる暗号化技術を採用しており、OSやブラウザは信頼できない接続についてユーザーに警告を表示するようになりました。個人用VPNサービスは、ほとんどの人にとってセキュリティやプライバシーの向上にほとんど役立たず、一般的なサイバー攻撃を阻止することにつながりません。
2:QRコードをスキャンしない
QRコードのスキャン自体に起因する犯罪がまん延したという証拠はありません。
3:公共のUSBポートでデバイスを充電しない
最新のデバイスは、データ転送を開始する前に通知を表示し、ユーザーが許可しない限りデータの転送は行えないようになっています。
4:BluetoothとNFCをオフにする
ワイヤレスでの脆弱性攻撃は現実世界では非常にまれです。最近のスマートフォンやノートパソコンはこれらのコンポーネントを分離しており、ペアリングにはユーザーの同意を求めてくるため実現は非常に難しいです。
5:定期的にCookieをクリアする
Cookieをクリアしても、セキュリティが大幅に向上したり、Cookie以外の識別子やフィンガープリンティングを含む最新のトラッキングを停止したりすることはできません。
6:パスワードを定期的に変更する
かつては「パスワードを定期的に変更する」はセキュリティに関する一般的なアドバイスでした。しかし、パスワードの変更によりサイバー攻撃が減るという証拠はありません。むしろ、パスワードを頻繁に変更することで「特定のワードの使いまわしてしまう」といったパスワードが弱くなるケースが発生しやすくなるため、逆効果であると専門家は指摘しています。
セキュリティグループは、「ハックロアは善意に基づいているものの、誤解を招く恐れがあります。人々が自分自身を守るために費やす限られた時間を奪い、侵害の可能性と影響を真に軽減する行動から注意を逸らしてしまいます。上記のアドバイスを、明確で事実に基づいたガイダンスに置き換えることをお勧めします」と言及。
一般ユーザー向けのセキュリティ関連アドバイスとして、「重要なデバイスとアプリケーションを常に最新の状態に保つ」「多要素認証を有効にする」「強力なパスフレーズを使用する」「パスワードマネージャーを使用する」の4つを挙げています。
私の知っている病院の電子カルテは、ログイン時にパスワードが必要なのですが、パスワードを定期的に変更することを要求してきます。その結果、多くの使用者は2つの簡単なパスワードを使いまわしています。とても安全とは思えません。総務省も2年前に「パスワードの定期変更は不要」と発表しています(発表をみる)。電子カルテの開発者が、この記事のような情報を知らないとは思えません。何が、こんなことを続けさせているのでしょう???
コメント