「公共Wi-Fiを避ける」「QRコードをスキャンしない」「公共のUSBポートでデバイスを充電しない」「パスワードを定期的に変更する」など時代遅れのセキュリティアドバイスを止めろと専門家グループが声を上げる

現役の情報セキュリティ責任者やセキュリティ専門家などで構成されるグループが、国民・企業・ジャーナリスト・政策立案者に向けて、インターネット上や公共のコラムなどで依然として広く流布されている誤ったセキュリティアドバイスである「ハックロア」を止めるよう求めています。

The Letter — Stop Hacklore!
https://www.hacklore.org/letter

専門家グループはハックロアとして、以下の6つを挙げています。

1：公共Wi-Fiを避ける

公共Wi-Fiを介した大規模なセキュリティ侵害は、記事作成時点では極めてまれです。最新の製品は、オープンネットワーク上でもトラフィックを保護できる暗号化技術を採用しており、OSやブラウザは信頼できない接続についてユーザーに警告を表示するようになりました。個人用VPNサービスは、ほとんどの人にとってセキュリティやプライバシーの向上にほとんど役立たず、一般的なサイバー攻撃を阻止することにつながりません。

2：QRコードをスキャンしない

QRコードのスキャン自体に起因する犯罪がまん延したという証拠はありません。真のリスクはソーシャルエンジニアリング詐欺ですが、これは既存のブラウザやOSの保護機能、そしてウェブサイトに提供する情報に注意することで防ぐことができます。

3：公共のUSBポートでデバイスを充電しない

公共のUSBポートにデバイスを接続すると、デバイスを乗っ取られてしまうというサイバー攻撃が「ジュースジャッキング」です。しかし、ジュースジャッキングが日常的に使用される機器に悪影響を及ぼした事例は確認されていません。最新のデバイスは、データ転送を開始する前に通知を表示し、ユーザーが許可しない限りデータの転送は行えないようになっています。

公共の充電ポートを使うとスマホが乗っ取られるという「ジュースジャッキング」は本当に起こりうるのか？ - GIGAZINE

4：BluetoothとNFCをオフにする

ワイヤレスでの脆弱(ぜいじゃく)性攻撃は現実世界では非常にまれです。ワイヤレスで脆弱性攻撃を成功させるには、「特殊なハードウェア」「物理的な近さ」「パッチ未適用のデバイス」が必要となります。最近のスマートフォンやノートパソコンはこれらのコンポーネントを分離しており、ペアリングにはユーザーの同意を求めてくるため実現は非常に難しいです。

5：定期的にCookieをクリアする

Cookieをクリアしても、セキュリティが大幅に向上したり、Cookie以外の識別子やフィンガープリンティングを含む最新のトラッキングを停止したりすることはできません。

6：パスワードを定期的に変更する

かつては「パスワードを定期的に変更する」はセキュリティに関する一般的なアドバイスでした。しかし、パスワードの変更によりサイバー攻撃が減るという証拠はありません。むしろ、パスワードを頻繁に変更することで「特定のワードの使いまわしてしまう」といったパスワードが弱くなるケースが発生しやすくなるため、逆効果であると専門家は指摘しています。

セキュリティグループは、「ハックロアは善意に基づいているものの、誤解を招く恐れがあります。人々が自分自身を守るために費やす限られた時間を奪い、侵害の可能性と影響を真に軽減する行動から注意を逸らしてしまいます。健全なセキュリティガイダンスは、正確で、適切かつ実践的でなければなりません。この基準を念頭に置き、上記のアドバイスを、明確で事実に基づいたガイダンスに置き換えることをお勧めします」と言及。

一般ユーザー向けのセキュリティ関連アドバイスとして、「重要なデバイスとアプリケーションを常に最新の状態に保つ」「多要素認証を有効にする」「強力なパスフレーズを使用する」「パスワードマネージャーを使用する」の4つを挙げています。