※ねこくんさんは敬称として変なので以下ねこくんとします。ねこくん以外の個人名は基本敬称をつけ、グループ名は敬称略で記載します。

ねこくんの復帰

最近レペゼンFoxxが立ち上げたNOEZ FOXXというプロゲーミングチームに、Fortniteの配信者だったねこくんが加入した。私はねこくんが麻薬所持で有罪判決というニュースを見て初めて知った程度なので全盛期を知らないのだが、登録者数100万人を超える大人気ストリーマーだったらしい。

Youtuberでいうとヒカキンさんやはじめしゃちょーさんが登録者数1000万人の大台を超え、東海オンエアが約700万人など桁が違うので、なかなかピンと来ないかもしれないが、日本のゲーム配信の世界で登録者数100万人は圧倒的成功者と言っていい。今のFortnite界隈で大人気のストリーマーでいうと、例えばDFMのネフライトさんでも95万人台（2023年8月時）で100万人を超えていないし、アジア王者の大人気競技選手ザゴウさんでも3万人、ねこくんの人気がどれだけ凄かったか窺い知ることができる。

アカウント乗っ取り被害

そんなねこくんがNOEZ FOXXで復帰するとTLに流れてきたのをなんとなく見ていたら、活動再開後にのっとられたアカウントについての動画を出していた。

【緊急報告】200万課金アカウント乗っ取られた件について
https://youtu.be/HXvhYu1xxGU

何が起きたか

要するに彼がストリーマーとして仕事するにあたり必要な全てのアカウントが乗っ取られてしまい、200万円課金してスキンを買ったりしてきたFortniteアカウントは未だに問い合わせもできていないというのである。

取り返し方については私も分からないが、少なくとも100万登録者を抱えるトップストリーマーだった方が活動再開するなら、その集客力や影響力をEPIC社も見過ごせないと思うので、直接相談してみたら良いと思う。

脆弱なセキュリティ

なるほどなぁと思ったのは、日本の超絶有名ストリーマーでもセキュリティについて知らないし、やられて初めて知ることが多いんだなという事。デジタル機器に強いストリーマーでも、セキュリティに関しては知識がなかったし、危機感もなかった。

SNSアカウント一つあれば様々なサービスにログインできるOpenIDは、ユーザー情報を守るためには良いが、リスク分散という意味ではユーザーのセキュリティのためには良くないとか、そういう事はネットにも大して出ていない。ましてや学校教育でも教えなさそうだ。

パスワード管理できないとか面倒くさいとか、良い年したオトナ達が言っている事があるが、単にセキュリティ意識が脆弱なだけで悪気はない。悪気がなくて無邪気な人は魅力的だが、サイバー犯罪者から見ても無邪気な脆弱さは魅力的ということだ。

サイバー犯罪から自分の身を守るやり方について、やってみたら効果が多少はありそうなことを書いてみようと思う。下記に書くことはセキュリティの基礎的な内容だが、気になった方はやってみると良いと思う。

先に一つ言っておくが、楽して手に入るセキュリティはない。かなり面倒くさくなる。それでも最低限、自分の身を守るために時間を稼げそうな事はやっておいた方が良いと思う。

あと、悪意をもった人に善人は想像力で勝てない。予防措置はしておいたほうが良い。

サイバー犯罪から身を守る:基礎

基本原則
0）すべてのクラウド、すべてのサーバは攻撃されてデータを抜かれると知っておく

毎日のようにクラウドやサーバーから、何かしらの個人情報が盗み出されてニュースになっている。かつてはハリウッドセレブのプライベートヌードの写真がAppleのiCloudから引っこ抜かれて拡散されていた。iPhoneのデータをiCloudにバックアップしていたからだ。

2023年の最新事例では、トヨタ、JR東海、JTB、矢野経済研究所などビッグネームの個人情報漏洩事件が起きている。IT企業に守ってもらっているであろう大企業でも意図せず起きてしまうのだ。ましてや巷の小さなサービスなんてニュースになってないだけで、いろいろ起きている。

実施して欲しいセキュリティ対策

1）すべてのサービス登録先に別々のメールアドレスを使ってOpenIDで登録する

ほとんどのサービスでは、メールアドレスをユーザーIDとして登録させる。

メールアドレスを知っていればユーザーIDが分かるので、あとはパスワードを解くだけになる。しかも、どこのサービスでも同じメールアドレス、同じパスワードを使っていたら一回解くだけでなんでも入り放題になる。

各サービスのサーバが攻撃されても、一つづつユーザーIDとパスワードが違えば、被害を個別にとどめることができる。被害範囲を最小化していくには本人が対策するしかない。

同じものを使っているのがセキュリティリスクなのであって、だったら分ければ良いということで、すべて別々のGoogleアカウントを使ってOpenIDで登録することを強くオススメしたい。

OpenIDの意味ないじゃん。その通り。一つのアカウントで各サービスに入るというOpenIDの思想には反しているが、GoogleアカウントでOpenIDにするのは各サービスに情報管理をさせないと言う意味で、良い選択だと思う。強固なセキュリティを持つGoogleに個人情報やパスを管理してもらっておく。各種サービスには別々のGoogleアドレスで登録する。

これが現時点では良いと思う。

個別のメールアドレスでOpenIDを使わずに登録しても良いが、その場合、個人情報が抜かれるか否かは各サービスのセキュリティレベルに依存してしまう。エンジニアのレベル感もまちまちだし、サービス運営者がセキュリティにコストをかけていないかもしれない。

それよりセキュリティに莫大な投資をしている事が明白なGoogleに置いておいたほうがまだ安全そう。

どこかのサービスで情報が抜かれても全体に影響しないようにするという考え方なので、メールアドレスはサービスの数だけ膨れ上がり、管理は大変になる。それでも仕事で使うアカウントが一気に乗っ取られてしまったねこくんのような事態を避けられるかもしれないなら、やる価値はあると思う。

2）パスワードは長く、少なくとも32桁以上にし、記号と大文字小文字数字を散りばめて頑丈にして、絶対に使い回さない

この辺りは基本。ほぼ言うことはない。書いた通り。3ヶ月ごとに全部変える運用が出来るなら、それもオススメ。

安全なパスワードの長さと強度
https://onoredekaiketsu.com/secure-password-length-and-strength-verification/?amp=1

桁数の話は現時点では32桁あれば強固といえる。桁数すごく大事。8桁とか12桁のパスワード使って抜かれるのはごく当たり前の話なので、ちゃんと記号を散りばめた大文字小文字英数字の32桁以上のパスワードを使うべし。基本に忠実に。

Googleアカウントは99桁まで行けるので、本気で硬くするならパスワード99桁も良いかもしれない。運用性を落としても絶対にパスワードからは破られたくないならオススメ。

読むとためになるノートンさんのセキュリティの記事

https://jp.norton.com/blog/how-to/how-to-make-password

3）パスワードはスタンドアローンのパスワード管理ソフトで管理する
さらにPCに入れられるスタンドアローンのパスワード管理ソフトなどで管理する。テキストファイルに平文でパスワードを書いて置いておくのではなく、パスワード管理ソフトで暗号化して管理する。ちなみにパスワード管理データをクラウドに置いておくのはセキュリティ穴だらけなので是非やめて欲しい。GoogleChromeにパスワードを保存するのもNG。

keypass XCなどを使い、パス管理ソフトでマスターパスをかけておいて、2段階認証するべき。

企業の情シスが万全の管理をしてくれて、どこからでもVPNで繋げられるしSSOでも入れるという仕組みでない限り、個人がクラウドでワンパス思想を持つのは危険。

4）2段階認証を使い、Authenticatorなどアプリ認証を使う
これも基本。言うことはない。ちゃんと設定すべし。メールアカウントもゲームアカウントも同じように2段階認証とアプリ認証を使うと良い。ただしAuthenticatorはGoogleアカウント同期なしで使う事。アカウント同期するとクラウドに認証を同期されてしまい、抜かれたら一巻の終わりなので気をつけて使う。

Gmailメールアドレス取得でもAuthenticatorを使うし、サービス登録でもAuthenticatorを使うので、登録されるサービスはかなりの量になる。ありとあらゆるものをAuthenticaterで管理するのがオススメ。

5）クラウドに個人情報を置かない
その他、クラウドに個人情報を置くと盗られるのでやめる。これにはiCloudも含まれる。iPhoneのバックアップはiCloudに置かない。サイバーストーカーがついたら個人情報ぜんぶ抜かれる可能性が高くなる。可能性は潰しておいたほうが良い。

ねこくんの個人情報がどうやって抜かれたのか知らないが、クラウドに個人情報のバックアップ取ったりしていたなら、そこを狙われたかもしれない。

6）無料Wifiは絶対に使わないこと。モバイルルーター買うかテザリングする
お外を飛んでいる無料Wifi、使わない。これ鉄則。どれが本物か偽物か素人に判別つくわけがない。偽物に繋いでしまったらスキミングされたりスニッフィングされたりしてしまう。

そうしたら、もうパスワードを強化しようが、何しようが、ネットに繋ぐ時に流れる全データを抜かれてしまうので、どんなセキュリティ対策も無意味。

蛇足だが、会社のWifiに個人端末繋ぐのもやめたほうが良い。

7）FPSみたいな速度勝負だと難しいが、一般的に繋ぐ時はVPN使うと良い

ゲーマーはコンマ何秒かの反応速度で勝敗が決まる世界に生きているので、VPN回線を使うのは回線速度の問題で正直無理だと思うが、一般的な使い方の人はVPN使うと良い。ただし安全なVPNに繋がないと逆に全情報を自らご提供する事になるので気をつける。

8）Defenderは有効にしておく
Windowsの方は感染対策ソフトは外部のものを入れなくてもMicrosoftのDefenderを有効にしておけば問題ない。

https://kaoruya.org/blog/windows_defender/

9）セキュリティ反対派？？の話はそっとしておく
セキュリティの話をすると、必ず出てくるのが反対方向に揺さぶろうとしてくる人達。どっちみちそんな事しても抜かれる時は抜かれるし抵抗のしようがないという論理の人もいるし、そんなの面倒くさいじゃん自分は見られて困ること無いもん何か見られて困ることあるの？みたいな豪快に個人情報を丸出しにしてネットを歩き回りたい方々もいるが、何か反対したいという条件反射なだけなのでそっとしておく。

その方達はアカウントが乗っ取られて売り飛ばされても、きっとニコニコしてる。すべての人に自己を等しく分け与える神か仏か、なにか徳が高く修行中の人達だと思うので、拝んでおくと良い事があるかもしれない。

まとめ

他にもいろいろあるが、今回は基本中の基本だけ書いてみた。IT企業にお勤めの方などはすでにご存じのことばかりだったと思う。文章は長いが、実のところ当たり前のことしか書いてない。

フィッシング詐欺だのマルウェアだのの避け方はテレビでも教えてくれるのだが、こういう話が書かれているのをあまり見かけないので書いてみた。どなたかのお役に立てば幸いである。

最後にTwitterでバズっていたセキュリティ芸人さんの脆弱カフェ貼らせていただく。単純に面白い。

https://youtu.be/91BO5Gh-5RM