プライバシー対匿名性 – すべてを知るために
匿名性とプライバシーは、今日のデジタルランドスケープで最も頻繁に使われる概念の2つで、しばしば同義に使われます。
しかし、実際には同じものを指していません。それらの間には根本的な違いがあります。
基本的に、プライバシーはあなたのデータに対するコントロールの度合いであり、匿名性はあなたの正体を偽ったり、実際のアイデンティティのすべての識別要素を隠すことを意味します!
あなたの生活が一冊の本だと想像してみてください:
プライバシーは、誰もがその本を見ることはできず、あなただけがその本を見ることができるし、何を共有するかを選ぶ能力を持っています。
匿名性は、誰もがその本を見ることができますが、それはあなただけが理解できる言語で書かれています。
または、もっとわかりやすい例で説明するなら、プライバシーは透明なマントのようです。あなたはそれに包まれ、他の人に個人情報を見えなくし、誰がそれを見ることができるか、共有するかを選ぶことができます。
匿名性は、公の場でクロークとマスクを着るようなものです。皆があなたの存在を知り、行動を見ることはできますが、マスクの裏に誰がいるかはわかりません。
以下では、なぜこれらの概念が重要であり、それを維持する方法、法的な影響などについて説明します!
プライバシーと匿名性の定義とは
まず最初に、オンライン上で100%プライベートであることや100%匿名であることは不可能です。インターネットの概念は、真のプライバシーや匿名性とは相容れません。
どれだけ自分を守ろうとしても、誰かはあなたが誰であるかを知っています。
プライベートであることは、本当のあなたを誰が見て、どのような情報を収集できるかをコントロールすることです。自宅にいるようなもので、誰が訪れることができるかを自分で決めることができます。
匿名であることは、あなたの本当の身元を公に隠すことです。もはや隠れているわけではなく、群衆の一部となります。他の誰とも区別がつかないため、特定されることはありません。
しかし、インターネットでは100%プライベートであることはできません。あなたのISPは、あなたが誰であり、どこに位置しているかを知っています。あなたのデバイスも、あなたについてのクッキーを収集することで、あなたが誰であるかを知っています。
そして、100%匿名であることもできません。どれだけインコグニートであっても、少なくとも1つの当事者は本当のあなたを知っている、またはあなたが誰であるかを知ることができます。そして、彼らがさらに深く掘り下げることを選んだ場合、彼らはそうするでしょう。
しかし、これはオンラインで自分を守ることができないという意味ではありませんか? または、匿名とプライベートであることができないということでしょうか?
いいえ、もちろん違います。正しいことをすれば、ほぼ完璧な匿名性とプライバシーを実現することができます。
プライバシーの重要な要素
- プライバシーは、個人を特定できる情報(PII)のコントロールに関するものです
- 匿名性を達成・維持するより難しい
- プライバシーの侵害は、匿名性の侵害よりも個人にとって大きなリスクをもたらす
- 個人情報のコントロール
- あなたの敏感なデータに関する意思決定の自律性
- あなたの個人的な空間へのアクセスを制限する権利
- オンラインでのコミュニケーションや交流時の機密性
- あなたに害を及ぼす可能性のある不正な侵入からの保護
- プライバシーは、敏感な個人データのデフォルトの状態であるべき
- 理想的には、プライバシーは誰もが持つべき人権です
プライバシーの権利はほとんどの西洋諸国で認められていますが、オンラインに行くときにデフォルトでプライバシーを持っているわけではありません。
あなたのブラウザ、検索エンジン、そして訪れるウェブサイトはクッキーを収集し、あなたの活動を追跡し、パーソナライズされた広告を送信します。
同様に、あなたのIPアドレスは誰でも見ることができます。オンラインになるとき、あなたは公的な存在です。あなたはデフォルトでプライベートではありません。
トラッカーや広告を無効にするプライベートブラウザを使用することができますが、多くのプログラムの適切な機能にはクッキーが不可欠です。クッキーの収集を制限しても、完全に止めることはできません。
匿名性の重要な要素
- 匿名性は、あなたのPIIを隠し、幻の身元を作り出すことに関するものです
- あなたの個人的な身元を隠します
- あなたの本当の身元をさらさずに行動する能力
- 別名や偽名を使用して公共の場でインコグニートになること
- あなたのPII(個人を特定できる情報)は、あなたが許可しないか偽装することにより、誰にも見られません
- あなたの物理的な外見をマスク、曖昧にする、または隠す
- あなたのオンラインペルソナと現実世界の身元との間のいかなる接続も制限する
- 識別、認識、検査、判断されることなく自由である
- 理想的には、匿名性は誰もが持つべき権利です
匿名性はプライバシーと同じくらいの権利ですが、プライバシーと同様に、オンラインになったときにデフォルトでその恩恵を受けるわけではありません。
ただし、匿名性はより意図的で行動指向であり、オンラインでの取り引きにおいてある種のデジタル ライフスタイルを採用することを要求します。例えば、デジタル足跡を残したくない匿名性意識の高い個人にとって、VPNはほぼ当然の選択です。
匿名性に
関連するいくつかのことをしているかもしれません – Torブラウザの使用、ブラウザのインコグニートモードの使用、ソーシャルメディアにPIIを公開しない、非識別可能なメールアドレスの使用、仮想クレジットカードの使用、法定通貨の代わりに暗号通貨での支払いなど。
言い換えれば、匿名性はウェブ上であなたに関するPIIの量を限定し、あなたの存在をできるだけ控えめで区別がつかないものにすることです。
プライバシーと匿名性の間の主な違いは、前者がオンラインである状態であり、後者があなたが参加する特定の行動や活動に関連していることです。
あなたは何かに関連して匿名です。例えば、ウェブを匿名でサーフィンしている、または地理的にブロックされたサービスに匿名でアクセスしている、または偽の名前とメールアドレスを与えてソーシャルメディアの投稿に匿名でコメントしています。
プライバシーと匿名性には複数の程度があります。例えば:
- あなたの公開ソーシャルメディアプロファイルはプライベートでも匿名でもありません。誰もがそれを見ることができ、あなたの本当の身元がそれに結びついているため、誰もがあなたが誰であるかを知っています
- 電話番号、メールアドレス、誕生日などの特定の情報をプライベートにすると、その情報を見ることができる人を制限しコントロールします。これにより、あなたはよりプライベートになりますが、匿名ではありません。なぜなら、プライベートな情報は依然としてあなたの身元に結びついているからです
- あなたのソーシャルメディアプロファイルの名前、プロフィール写真、バイオ、その他の識別可能な情報を変更すると、匿名になりますが、プライベートではありません。他のユーザーは依然としてあなたのプロフィールを見ることができますが、あなたが誰であるかは分かりません。なぜなら、あなたは自分の身元を偽装/変更したからです
- あなたのソーシャルメディアプロフィールを完全に削除すると、プライベートであり匿名になります。なぜなら、ソーシャルメディアの存在に結びついている個人を特定できる情報がもはやないからです
要するに、プライバシーはコントロールであり、匿名性は幻想です!
なぜプライバシーは重要なのか?
故ジョン・マカフィーはかつて「我々は驚異的な速さでプライバシーを失っている – もう残っていない。」と言いました。そして、ゲーリー・コバックスは「プライバシーはオプションではなく、インターネットを使うために受け入れるべき代償でもない。」と述べました。
あなたのプライバシーが重要なのは、それがあなた自身だからです。それはあなたのアイデンティティ、あなたの人格を構成するすべてであり、それが間違った手に渡れば、彼らはあなたを完全にコントロール下に置くでしょう。
私からの引用です – あなたがプライバシーをコントロールしなければ、他の誰かがコントロールします。そして、あなたの敏感なデータをコントロールできる人とできない人を選別することを、遠慮なく行うべきです。
アイデンティティ盗難は、21世紀の人々が今日直面している最も重大なリスクの一つです。そして:
- 2024年時点で、全米国民の約33%がアイデンティティ盗難の被害に遭っています。これは世界平均の2倍です
- 2019年時点で、約10人に1人のヨーロッパ人がオンラインでのアイデンティティ盗難を経験したと言っています
- アメリカでは、平均的なアイデンティティ盗難被害者は30〜39歳です
- 毎年100万人以上の子供がアイデンティティ盗難の被害者になっています
- ソーシャルメディアを使用している場合、アイデンティティ盗難のリスクが大幅に高まります(30-46%高い)
- ヨーロッパでは年間2億ドル以上がATM詐欺で失われています
あなたのアイデンティティは、名前、メールアドレス
、電話番号、銀行情報、クレジットカード番号、住所、医療データ、休暇計画、写真など、無数の要素で構成されています。
これらの要素の一つ一つが、脅威アクターによってあなたに対して使用される可能性があります。
あなたはこの言葉を聞いたことがあるでしょう – 「隠すものがなければ、恐れるものは何もない」。これを言うのは、コントロールされることに満足しており、乱用のリスクを理解していない人だけです。
間違いなく – 敏感なデータはあなたに対して武器として使用される可能性があります。これは人類の夜明け以来ずっと続いていることです。フィッシング、アイデンティティ盗難、BEC(ビジネスメール妥協)、およびその他のさまざまなサイバー攻撃が、あなたの個人データを使ってあなたに対して行われます。
あなたが自分のデータをコントロールしていないという単純な事実は、悪意のあるアクターがそれを手に入れることを意味します。プライバシーはあなたのデータを隠して違法な行為をすることを意味するのではありません。それは、そのデータを使用してあなたに害を及ぼすであろう人々から予防的に自分自身を守るために、あなたがそれを行っているのです。
Why Does Anonymity Matter?
プライバシーが外部の脅威に対する受動的な保護であるならば、匿名性はサイバーセキュリティのリスクに屈することなく、社会により積極的に参加することを可能にします。
匿名性を大切にすべき最も重要な理由をいくつか挙げます:
- 身元を偽装したり、マスクの後ろに隠したりして、望まない監視からあなたを守ります。これにより、不必要に判断されたり、注目を集めたりすることなく、オンライン活動に参加することができます。ただし、これは違法な活動に参加することを意味するわけではありません
- 表現の自由を乱用、報復、信用失墜の試みから守ります。匿名性は、検閲の恐れなく、多様な視点やアイデアの共有を促進するオープンな対話とコミュニケーションを育てます
- オンラインでの嫌がらせやサイバーいじめから保護し、個人への攻撃からあなたを安全に保ちます
- 不正行為についての報告を前に出るのを手助けすることで、告発者の説明責任を促進します。これは透明性を促進しますが、告発は容易に制御不能になり、善よりも害をもたらす可能性があります
匿名性に対する偏見があるのは、ある程度当然のことです。匿名性はサイバー犯罪において不可欠な要素であり、脅威アクターが当局から隠れたままでいることを助け、攻撃を手助けします。
しかし、匿名性自体が悪いわけではありません。それは単にツールであり、あなたが適切だと思う方法で使用されます。ある人はそれを使って大企業に対するDDoS攻撃を開始するかもしれませんが、別の人はオンラインショッピング時に匿名のアイデンティティを使用するかもしれません。
プライバシーと同様に、あなたは匿名性を持つ権利があり、可能な限り匿名性を求めることが許されるべきです。特に今日のデジタル化された世界では、匿名性はほとんどの人にとってもはや持つことができない贅沢になっています。
オンラインになって、誰もあなたが誰であるかを知らず、匿名でプライベートであるために追跡できないと知っている時の、特別な種類の安心感があります。
妄想?もしかしたら、少しはあるか
もしれません。
しかし、セキュリティとプライバシーについては?おっしゃる通りです!
プライバシー対匿名性の法的意味合いは何か?
プライバシーと匿名性は同じ硬貨の両面です。それらはあなたのオンラインアイデンティティを定義し、危険な結果に対してあなたを使うことができます。だからこそ、両方に深刻な法的意味合いがあります。
プライバシー侵害
- 性質: プライバシー侵害は、被害者の個人情報が第三者によって無許可でアクセスされたり、公開されたり、不正利用されたりすることで発生します。これは通常、脅威アクターが被害者のシステムに侵入したり、データコントローラーのセキュリティシステムを迂回したりする際に発生します
- 結果: 潜在的なアイデンティティ盗難、企業の評判損失、金融詐欺、法的な反発、名前、住所、銀行および健康データなどの機密データの喪失など。
- 方法: ソーシャルエンジニアリング、フィッシング、BEC、マルウェア、データ傍受、SQLインジェクション、ゼロデイエクスプロイト、Wi-Fiスニッフィング、DNSスプーフィングなど。
データプライバシー侵害は、悪意のあるアクターによって悪用されると、人々の生計にリスクをもたらす可能性がある機密データを含むため、特に悪質です。
そのため、ほとんどの文明国では、人のプライバシーとプライベートデータの権利を保護する法律があります。ヨーロッパではGDPRとして知られており、すべてのヨーロッパ市民のプライバシーと情報セキュリティの権利を監督しています。
アメリカでは、HIPAA(健康データ用)、CRPA(カリフォルニアプライバシー権法)、GLBA(金融データ用)など、複数のデータプライバシー法があります。
ケーススタディ – ケンブリッジアナリティカスキャンダル
2018年はプライバシーにとって良い年ではありませんでした。政治コンサルティング会社が何百万人ものFacebookユーザーの個人データを彼らの同意なしに収集し使用していたことが発覚した際、ケンブリッジアナリティカスキャンダルは大きな波
紋を呼びました。
ニューヨークタイムズによると、同社はFacebookデータに基づいて有権者プロファイルを作成しており、ロシアとの関連も論争の原因となりました。
マーク・ザッカーバーグは議会の前に立ち、Facebookがこの騒動に関与していないことを保証させられました。その後、連邦取引委員会はFacebookにプライバシー違反により50億ドルの罰金を支払うことを発表しました。このソーシャルメディア企業は20年間の和解命令を受けました。
また、彼らはユーザーデータを誤って露出させたため、英国情報コミッショナー事務所に50万ポンドの罰金を支払いました。
ケンブリッジアナリティカは2018年5月に破産を申請し、それ以来の消息はありません。
匿名性侵害
- 性質: 匿名性侵害は、匿名のままでいたいと望んでいた個人の身元が公に露呈する場合に発生します
- 結果: 以前は匿名だった行動があなたの身元に結びつけられるため、ハラスメント、いじめ、その他の望ましくない行為(社会的判断)が行われます
- 方法: トラフィック分析、メタデータの悪用、DNSリーク、ブラウザの指紋取り、相関攻撃、ISPトラッキング、Wi-Fiトラッキング、ユーザー行動分析など。
匿名性侵害は通常、(健康データ、財務データなど)あなたを非常に脆弱にする機密データを露呈するわけではないため、危険性は低いです。
匿名性侵害はあなたの公開身元のみを露呈します。プラットフォーム、サイト、または多数の人々が公にあなたが誰であるかを知ることになります。通常、公開情報は、匿名のカバーの下で悪事を働いていない限り、問題を引き起こすことはありません。
ここでは2つのケースシナリオについて話しています:
1. 違法活動に参加する
サイバー犯罪者は、違法活動に参加しながら法の手から隠れるために匿名性を使用します。明らかに、これは望ましく、許容される、または受け入れられるものではありません。
そして、サイバー犯罪者の匿名性を排除することは、彼らを捕まえる目標の一つです。
2. 抑圧的な政府から隠れる
抑圧的な政府の下で生活する個人にとって、自由を制限されたり、嫌がらせを受けたり、報復されたりするこ
とから匿名性は非常に有用です。
この場合、匿名性は権利を持たない人々が自由を実現し、戦うチャンスを得るための最良のツールです。多くの人々は単に国を離れたいと思っていますが、外部とのコミュニケーションに満足している人もいます。
ケーススタディ – シルクロード
シルクロードの摘発は、最近の歴史の中で最も悪名高い匿名性侵害の一つです。シルクロードはTorネットワーク上のオンラインブラックマーケットで、ビットコインを使用して想像できるあらゆるものを扱っていました。
最終的に、シルクロードの創設者であるロス・ウルブリヒトは、ついに特定された後の2013年に逮捕されました。複数の法執行機関が何年にもわたってシルクロードに対して広範な調査を行っていました。
Torネットワークはほぼ完璧な匿名性を提供しますが、当局はパズルを組み合わせて最終的にウルブリヒトを特定することができました。彼らはビットコイン取引を追跡し、サーバーログを分析し、彼のオンライン活動(悪名高いDread Pirate Robertsとして)を調査して彼を見つけました。
ウルブリヒトはコンピューターハッキング、マネーロンダリング、麻薬取引など、いくつかの他の罪で起訴されました。彼は2015年5月に終身刑(仮釈放の可能性なし)を言い渡されました。
シルクロードの摘発は、匿名性についての特定の真実を明らかにします – それは永続しません。誰かがあなたを見つけることに十分に決意しており、十分なリソースを持っていれば、彼らは必ずあなたを見つけます。
これは世界中のサイバー犯罪者に対する教訓としても機能します。
法律はプライベート行動と匿名行動をどのように見ているか?
プライベート行動と匿名行動は、ほとんどの西洋諸国で合法です。これは、プライバシーと匿名性を維持しながら社会で行動することが許可されており、理論上はこれに制限はありません。
しかし、違法な活動を開始した瞬間、法律は線を引きます。それがプライバシーと匿名性が破壊されるべき消耗品になる時です。
一般的に、匿名性は危険な活動に従事していない場合でも、プライバシーよりも犠牲にされやすいです。
匿名性侵害の場合に比べて、プライバシー侵害の場合の法的保護はより強いです。個人は通常、匿名性に関して
は期待が少ないです。なぜなら、それは自分自身で選択することだからです。
一方、プライバシーは、データをコントロールする人々から要求するものです。いつも誰かがあなたのデータをコントロールしています。データコントローラーに対して、あなたのデータを保護するための要求と期待は飛躍的に高まります。
法律は同様に、データ侵害に対してあなたをより強く保護し、あなたのデータを保護することに失敗したデータコントローラーに対してより厳しい罰則を課します。
無実の被害者が匿名性を失い、その過程で害を受ける匿名性侵害のケースはかなり少ないです。ほとんどの場合、無実の被害者がサイバー犯罪者に狙われるのはプライバシー侵害です。
匿名性の場合、被害者はしばしば犯罪者です。シルクロードのように、犯罪者は犯罪を犯す際に匿名性を利用して自分の身元を隠します。そして、当局はその匿名性の層を破壊して彼らを追跡し、罰します。
合法と非合法の匿名性(またはプライバシー)の間には非常に細い線があります。法の間違った側にいる場合、これらのすべての権利は最終的な逮捕まで選択的に停止されます。
社会は、特にデジタル時代に、個人がその行為に対して責任を負う必要があります。したがって、プライバシーが保護者として、また法を逃れるためのツールとしての間にはバランスが必要です。
プライバシーと匿名性の技術的側面
個人の努力だけでは、プライバシーと匿名性を高めるには限界があります。そこで、オンラインの安全を保護し維持するのに役立つデジタルツールの使用を始めます。
ここで紹介するのは、そのようなツールの一部です:
- VPN(仮想プライベートネットワーク)
- パスワードマネージャー(ただしLastPassとKeePassを除く)
- プロキシ(特にHTTPSプロキシ)
- 複数のエイリアスを作成できるプライベートなメールプロバイダー(Proton Mailなど)
- バーチャルクレジットカード
- プライベートインターネットブラウザー(Librewolfなど)と検索エンジン(DuckDuckGoなど)
- 物理セキュリティキー(Yubikeyなど)
- 法定通貨の代わりに仮想通貨で支払う
- エンドツーエンド暗号化メッセージングプラットフォーム(SignalやWhatsAppなど)
- モバイルデバイス用のカスタムプライベートOS(GrapheneOSやCalyxOSなど)
これらのツールの一部はプライバシーを強化し、他のツールは匿名性を高め、また他のツールはその両方を行います。さらに、一部のツールはこれらのデータを安全に保持し、間違った手に渡らないようにします。
この全ての中での皮肉な点は、プライバシーと匿名性を保護するために使用するツールが多くなるほど、より多くのデータコントローラーがあなたのデータと身元を持つことになるということです。
ただし、上記のツールのいくつかにはそれが当てはまりません。いずれにしてもブラウザー、検索エンジン、メールプロバイダーを使用するのであれば、なぜ最もプライベートなものを選ばないのでしょうか?
以前にも言ったように、あなたは自分のプライベートデータと身元を誰からも隠すことを選ぶことはできません。あなたが選ぶことができるのは、リスクなしで最大の利益を得るためにそれを共有する相手だけです。
VPN – プライバシーと匿名性に理想的
避けては通れません – プライバシーと匿名性の両方を保護したい場合、仮想プライベートネットワーク以上のツールはありません。具体的にはプレミアムVPNです。
無料のVPNは、一部の地域制限を回避し、VPN業界に足を踏み入れるためには良いかもしれません。しかし、オンラインのセキュリティ、プライバシー、そして匿名性を本当に大切にするなら、最終的にはプレミアムVPNを選ぶことになるでしょう。
市場で最も高価なものを選ぶ必要はありません。多くのユーザーにとってSurfsharkは十分です – 14 Eyes国外にあり、厳格なログ保存ポリシー、堅固な暗号化、優れた匿名性機能を持っています。
プライバシーと匿名性を強化することで知られるVPNの機能には以下のものがあります:
- キルスイッチ は、VPN接続が何らかの理由で失敗した場合にインターネットから自動的に切断します。これにより、VPNの暗号化なしでデバイスが公開されるのを防ぎます
- DNSリーク保護 は、DNSリクエストをVPNトンネルを通してルーティングし、ブラウジング中にISPへのリークが発生するのを防ぎます
- マルチホップサーバー は、インターネットトラフィックを複数のVPNサーバーを通じて複数の場所にルーティングします。これにより、匿名性の追加の層が加わり、あなたが誰であるかを突き止めるのが二倍難しくなります
- Tor Over VPN は、VPN接続の上にTorネットワークの暗号化と匿名性の基準を追加し、両方の世界のベストを提供します
- スプリットトンネリング では、どのアプリが直接インターネットに接続し、どのアプリがVPN接続を通過するかを選択できます。これにより、パフォーマンスとセキュリティのバランスを取ることができます
- オブスキュレーテッドサーバー は、VPNトラフィックを隠し、通常のインターネットトラフィックとして偽装します。これは、あなたの政府があなたを監視しており、VPNの使用が発見された場合に罰せられる場合に役立ちます
良質なプレミアムVPNはこれらの機能を提供します。なぜなら、プライバシー専門家にとって不可欠だからです。VPNに支払いを決めた時点で、あなたは自分の宿題をして、何を期待するかを知っています。
全体として、プライバシー指向のブラウザ、検索エンジン、VPN、プライベートメールプロバイダーなどのツールを
使用せずに、プライバシーや匿名性を得たり維持したりすることはできません。
プライバシー、匿名性、そして公共の生活
プライバシーや匿名性があなたにとって重要かもしれませんが、公共の生活を軽視しないでください。これら三つを同時に同じ効果で行うことはできません。いくつかの妥協は必要です。
これが私が言いたいことです:
- 選択的情報共有 – いつ公に情報を共有するか(そしてどの情報を共有するか)、そしていつそれをプライベートに保つかを選択する必要があります。社会に参加することは、ある程度、あなたの匿名性やプライバシーを妥協することを要求します
- プライバシー設定を利用する – あなたが使用するほとんどのアプリやプラットフォームには、変更できるプライバシー設定があります。それらをあなたの好みに合わせて調整し、プライバシーのニーズと社会的存在のバランスを取るようにしてください
- 偽名やエイリアスを使用する – 特にサービスに実世界の身元を使用する必要がない場合には、これらは常に役立ちます。Protonのようなメールプロバイダーはエイリアスオプションを提供します
- リスクを理解する – オンラインで何をするにしても、それがあなたのプライバシーや匿名性にどのような影響を与えるかを理解する必要があります。これにより、プライバシーを保護する行動とそれを破壊する行動について、より教育的な決定を下すことができます
- デジタルデトックスを考慮する – 時々、インターネットから離れて、プライバシーとオンライン時間のバランスを再考するのは悪い考えではありません
オンラインで100%プライベートまたは匿名でいることはできませんが、それで諦めるべきではありません。繊細なバランスを保つ必要がありますが、そこに心の平和と健全な社会参加が見つかります。
経験則として、使用するすべてのサービスやプラットフォームで個人を特定できる情報(PII)を制限することです。例えば、必要以上に自分の電話番号やメールアドレスを共有しないようにしてください。これは無用の脆弱性を生み出す可能性があります。
いくつかのサービスと共有するPIIは避けられませんが、あなたのデータにアクセスできる第三者に対してはより選択的になってください。
プライバシーと匿名性を維持する上での課題は何か?
プライバシーと匿名性を得ることは簡単な部分かもしれませんが、それらを維持することはより複雑になります。最も一般的な脆弱性は、皮肉にもあなたが使用するサービスにあります。
ターゲットを絞ったデータ侵害は、あなたのPIIを露呈させ、ソーシャルエンジニアリング攻撃の標的にする可能性があります。2019年8月のFacebookのデータ侵害で5億3000万人以上のユーザーデータが露呈したことについて聞いたことがあるでしょう。
露呈した情報には以下のものが含まれていました:
- 電話番号
- メールアドレス
- フルネーム
- 位置情報
- その他のプロフィール情報
幸いなことに、このデータダンプには健康、財務、資格情報は含まれていませんでした。しかし、この規模のデータ侵害は、今日ではますます一般的になっています。
2023年の世界最大のサイバーセキュリティ攻撃についての別の投稿では、最大のデータ侵害が2023年9月に38億レコードを露呈したことが分かりました。
特にひどいデータ侵害は、あなたを保護することを目的としたサービスで発生します。ここでは2011年までさかのぼるセキュリティインシデントの歴史を持つLastPassを考えています。
最後のもの、そして多くのユーザーにとって最後の一撃となったのは2022年の出来事でした。
LastPass攻撃タイムライン:
- 許可されていない者がLastPassのプロダクションデータのアーカイブバックアップを含むサードパーティのクラウドベースストレージサービスに侵入しました
- 攻撃者はソースコードと技術情報を盗み、ストレージサービスに含まれるストレージボリュームにアクセスして解読するための資格情報とキーを含む
- ハッカーによってコピーされたストレージサービスからの情報には、顧客企業の名前、請求先住所、エンドユーザーの名前、電話番号、メールアドレス、IPアドレスが含まれていました
- ハッカーはまた、暗号化された(ウェブサイトのユーザー名とパスワード)および暗号化されていない
データ(ウェブサイトのURL)を含む顧客のボールトデータのバックアップをコピーしました
攻撃者は、LastPassのボールトを機械的に解読しようとするために、ブルートフォースパスワード攻撃を使用するだけでした。ただし、ボールトはAES-256暗号化を使用して暗号化されているため、ユーザーのボールトが強力なパスワードで保護されている場合、解読に対して実質的に不可能です。
最大の問題点は、このインシデントが初めてではなかったこと、そして攻撃の起源がLastPassのDevOpsエンジニアであったことでした。ハッカーは、エンジニアの自宅デバイスにインストールされた脆弱なサードパーティソフトウェアを悪用して、彼らのストレージにアクセスしました。
LastPassは攻撃について「DevOpsエンジニアの自宅コンピューターを標的にし、脆弱なサードパーティのメディアソフトウェアパッケージを悪用することで、遠隔コード実行機能を有効にし、脅威アクターにキーロガーマルウェアを植え付けることを可能にしました。脅威アクターは、従業員がMFAで認証した後、従業員がマスターパスワードを入力する際にそれをキャプチャし、DevOpsエンジニアのLastPassコーポレート ボールトにアクセスできました」と述べました。
これは、プライバシーと匿名性がいかに脆弱であり、使用するサービスプロバイダーに注意しないと維持が難しいかを示しています。
要約すると、あなたのプライバシーと匿名性を維持する上での主な課題は以下の通りです:
- あなたが使用するサービスプロバイダーに対する外部からのデータ侵害で、あなたがコントロールできないもの
- あなたを騙すソーシャルエンジニアリング攻撃
- あなたが使用するサービスプロバイダーに対する政府の監視と法的要請
- ユーザー情報を集約して販売するデータブローカーとプロファイリング会社
- データ集約プラットフォームによるトラッキングとプロファイリング
- 安全でない場所でPIIを露出させる自己認識の欠如
- あなたのデータへのアクセスを提供するデバイスとアプリの許可
- 複数のプラットフォームにわたるプロファイルと活動への一元化されたアクセスを提供するSSO
(シングルサインオン)サービスへの過度の依存
- 攻撃に対してより脆弱な公共のWiFiネットワーク
特に、あなたのモバイルデバイスはアプリからのデータ収集と集約に関して特に罪があります。Googleサービスはプライバシーにとって特に悪いですが、GrapheneOSやCalyxOSのようなカスタムOSをインストールする以外にできることはあまりありません。
私のお勧めは、BraveやLibrewolfのようなプライベートブラウザーを入手し、DuckDuckGoのようなより匿名性の高い検索エンジンを使用することです(読み込み時間と検索結果の品質に影響します)、Protonのようなプライベートメールプロバイダーに切り替え、WhatsAppやTelegramのようなエンドツーエンド暗号化メッセージングアプリを選ぶことです。
そして言うまでもなく、ある特定のコードに従うべきです – あなたのPIIはインターネット上で最も重要な資産です。どこに行っても無闇にそれを露出させないでください。
プライバシーと匿名性に対する懸念の高まり
ユーザーの間でプライバシー、セキュリティ、そして匿名性に関する懸念が高まっています。数字は、消費者が2023年に2022年と比べて自分のセキュリティについてより心配していたことを示しています。
以下のデータについては、Deloitteの研究を使用しているので、詳細を知りたい方は彼らの研究を読んでください。
こちらが2023年の発見の要約です:
- 6/10の回答者が自分のデバイスがデータ侵害の脆弱性を持っていることを心配しています
- 6/10の回答者が人や組織によって自分のデバイスを通じて追跡されることを心配しています
- スマートフォンユーザーの67%が自分の電話のデータプライバシーとセキュリティについて心配しています
- スマートホームユーザーの62%が自分のスマートホームデバイスのプライバシーとデータセキュリティについて懸念しています
- スマートホームユーザーの52%が誰かにリモートで自分のスマートホームデバイスを制御されることを心配しています
- スマートウォッチ/フィットネストラッカーユーザーの48%が自分のデバイスのプライバシーとデータセキュリティについて心配しています
- 6/10の回答者が自分のスマートフォンやスマートホームデバイスが自分の動きや行動を追跡していることを心配しています
- スマートウォッチとフィットネストラッカーのユーザーの5/10が自分のデバイスが自分の位置を追跡していることを心配しています
- 回答者の0.33%が2022年に少なくとも1種類の詐欺やデータ侵害を報告し、16%が少なくとも2種類の詐欺の犠牲になっています
- 7%の消費者が2022年と比べてデバイスの位置情報サービスをオフにする割合が増えています(消費者の合計39%)
- 4%の消費者が2022年と比べてアプリやサービスに2FAを
実装しています(消費者の合計38%)
- 3%の消費者が2022年と比べてセキュリティを強化するツールを使用しています(消費者の合計25%)
- 変化なし 2022年と比べてデバイスのBluetoothをオフにする人の数(消費者の合計23%)
- 3%の消費者が2022年と比べてVPNを使用しています(消費者の合計21%)
- 変化なし 2022年と比べてプライバシー/セキュリティの懸念からアプリの使用を停止した人の数(消費者の合計20%)
- 変化なし 2022年と比べてソーシャルメディアアカウントを一時停止または削除した人の数(消費者の合計15%)
- 変化なし 2022年と比べてアンチトラッキングソフトウェアを使用する人の数(消費者の合計15%)
- 5%の消費者が2022年と比べてソーシャルメディア以外のアカウントを削除しています(消費者の合計14%)
- 変化なし 2022年と比べてクレジットスコアを凍結またはクレジットモニタリングサービスに登録した人の数(消費者の合計14%)
- 変化なし 2022年と比べて暗号化メッセージングサービスを使用する人の数(消費者の合計11%)
- 5%の消費者が2022年と比べて自分を追跡しない接続デバイスを購入しています(消費者の合計9%)
- 変化なし 2022年と比べて完全にデバイスの使用を停止した人の数(消費者の合計4%)
- 変化なし 2022年と比べて接続された代替品の代わりに非接続デバイスを購入した人の数(消費者の合計3%)
- 9%減少 オンラインサービスの必要性がデータプライバシーに対する懸念を上回ると感じる消費者
- 34%の消費者が企業がオンラインサービスからのデータ収集と使用について明確であると感じています
- 9/10の消費者が企業が収集するデータを閲覧および削除するコントロールを持つべきだと感じています
- 80%の消費者が自分のデータから利益を得る企業によって支払いを受けたいと考えています
- 85%の消費者がデバイスメーカーは販売するデバイスのデータプライバシーとセキュリ
ティをもっと保護する努力をすべきだと考えています
- 77%の消費者が政府に企業がデータを収集し使用する方法についての規制を強化することを望んでいます
人々は保護なしでウェブをサーフィンするリスクについてますます意識が高まっています。サイバー犯罪は驚くべき高さに達し、データ侵害は私たち全員に影響を与えます。私たちはもはや安全ではなく、何かをする時が来ました!
結論
I hope that you now have a better understanding of how privacy and anonymity define your online identity. Having the wrong expectations about how these two concepts apply to you can seriously impact your online identity and possibly even put you at risk.
Key points to remember:
- Complete privacy & anonymity are impossible to achieve online
- Privacy represents control over your data. You decide who can see it, access it, collect it, and use it (theoretically, at least)
- Anonymity represents illusion and subterfuge. You either reduce your PII to the absolute minimum or manufacture a fake online identity to hide your real one
- Privacy is harder to achieve and maintain than anonymity
- By default, you have almost zero anonymity and privacy when you go online
- Becoming anonymous requires a more active approach and a change in online lifestyle compared to privacy
- Privacy breaches are typically more dangerous than anonymity breaches
- Self-awareness and education are necessary to protect your data privacy and anonymity
This has been an illuminating study, even for me. The time for inaction is long gone, and I wholeheartedly recommend everyone to take their privacy and anonymity seriously!
Sources
Europa – Eurobarometer
Federal Trade Commission – Consumer Sentinel Network
ID Theft Center – ITRC 2017 Identity Theft and Fraud Predictions
Exploding Topics – 30+ Identity Theft Statistics for 2024
Association Secure Transactions – Terminal Fraud Attacks Increase in Europe
Trend Micro – Business Email Compromise (BEC)
Europa – Data Controller or Data Processor
NY Times – Cambridge Analytica and Facebook: The Scandal and the Fallout So Far
CBS News – Inside the FBI takedown of the mastermind behind website offering drugs, guns and murders for hire
Forbes – Why You Should Stop Using LastPass After New Hack Method Update
The Hacker News – KeePass Exploit Allows Attackers to Recover Master Passwords from Memory
Privacy Affairs – Biggest Cybersecurity Attacks Worldwide in 2023
LastPass – Incident 2 – Additional details of the attack
Deloitte – Data privacy and security worries are on the rise, while trust is down
