専門家に廃止すべきと指摘された時代遅れのセキュリティ対策とは

IT

「Stop Hacklore!」というサイトが反響を呼んでいます。

サイトの日本語は「ハックロアを止めろ!」です。

Hacklore(ハックロア)とは、hacking(ハッキング)とfolklore(フォークロア)を合わせた造語です。

folklore(フォークロア)の意味は「民間伝承」です。

なので、Hacklore(ハックロア)は、根拠が曖昧、かつ、時代遅れのセキュリティ対策を指します。

根拠が曖昧なのに、世間がそれを信じているため、神話化されてしまったセキュリティ対策に対して「No!」と声を上げました。

「Stop Hacklore!」のトップページはこちら↓
Retire outdated cybersecurity advice(時代遅れのサイバーセキュリティアドバイスを退職させましょう)!

Stop Hacklore(ハックロアを止めろ)!活動の署名者たち

Google、Microsoft、Yahooなど名だたる企業のセキュリティ責任者や、元アメリカ政府機関のサイバーセキュリティの幹部など、100名を超える専門家が名を連ねています。

現場の最前線でサイバー攻撃と対峙してきた人ばかりです。

こうした方々が揃って、時代遅れのセキュリティ対策を指摘しました。

出典:Stop Hacklore!「An Open Letter」
※ブラウザの翻訳機能を使って日本語変換

An Open Letter(公開書簡)で指摘された時代遅れの対策

時代遅れのセキュリティ対策は、2025年11月24日、An Open Letter(公開書簡)で指摘されました。

こちらを参照↓
An Open Letter(公開書簡)

時代遅れのセキュリティ対策は6つあります。
要点だけ紹介します。

「公共のWiFiは避けましょう」が時代遅れ

・公共WiFiを通じた大規模な侵害は今日では極めて稀
・現代の製品は暗号化技術を使ってオープンネットワーク上でもトラフィックを保護している
・OSやブラウザは信頼できない接続についてユーザーに警告を発している
・個人向けVPNサービスは、ほとんどの人にとってほとんど追加のセキュリティやプライバシーのメリットを提供しない

「QRコードをスキャンしてはいけません」が時代遅れ

・QRコードスキャン自体に起因する広範な犯罪の証拠はない
・真のリスクはソーシャルエンジニアリング詐欺である
・既存のブラウザやOSの保護、そしてウェブサイトに提供する情報に慎重であれば、これは軽減される

「公共のUSBポートからデバイスを充電しないでください」が時代遅れ

・日常のユーザーに「ジュースジャッキング」が現行で確認された事例はない
・現代のデバイスはデータ転送を有効にする前にプロンプトを出し、充電モードを制限し、接続アクセサリーを認証している

「BluetoothとNFCをオフにする」が時代遅れ

・野外での無線攻撃は非常に稀で、通常は専用のハードウェア、物理的な近接、そして未修正のデバイスが必要
・現代のスマートフォンやノートパソコンはこれらのコンポーネントを隔離し、ペアリングにはユーザーの同意が必要

「定期的にクッキーをクリアする」が時代遅れ

・クッキーをクリアしても、セキュリティが実質的に向上したり、現代の追跡を止めたりするわけではない
・現代の追跡には、クッキー以外の識別子や指紋認証も含まれる

「パスワードの定期的な変更」は時代遅れ

・頻繁なパスワード変更はかつて一般的なアドバイスでしたが、犯罪が減少するという証拠はなく、パスワードの弱さやアカウント間の再利用につながることが多い

※ご参考
この指摘と同じ内容を当ブログで記事にしています。
パスワードが強固で多要素認証なら定期的な変更が不要な理由

An Open Letter(公開書簡)で推奨された事項

ニュースになるようなことは、高価値の個人や組織に対する攻撃で溢れていますが、実際には多くの人にとっての基本は変わりがありません。

基本を押さえると、一般向けの推奨事項は4つあります。
要点だけ紹介します。

「重要なデバイスやアプリケーションを常に最新の状態に保つ」

・メール、金融口座、クラウドストレージ、ID関連アプリなど、重要なサービスにアクセスするために使用するデバイスやアプリケーションに注意すること
・可能な限り自動更新を有効にし、これらのコアツールに最新のセキュリティ修正を適用すること
・デバイスやアプリがセキュリティアップデートのサポートを終了した場合は、アップグレードをすること

「多要素認証を採用する」

・メール、ファイル保存、ソーシャルメディア、金融システムなど、悪意のある行為者にとって実質的に価値のある機密アカウントを優先的に保護すること
・可能なら「パスキー」を選択して、パスワードをフィッシング詐欺に耐える暗号化に置き換え、攻撃者がパスワードを盗んでもログインできない仕組みにすること
・それら方法がない場合は、SMSのワンタイムコードを使うこと

「強力なパスフレーズ(単なるパスワードではなく)を使う」

・重要なアカウントのパスフレーズは「強力」であるべき
・「強力な」パスワードやパスフレーズは長く(16+文字)、一意(いかなる状況でも再利用しない)、ランダム生成(人間はそれが苦手であることで有名)とする

「パスワードマネージャーを使う」

・パスワードマネージャーは強力なパスワードを作成し、暗号化されたボールトに保存し、必要なときに入力してくれる
・パスワードマネージャーは正規サイトでのみパスワードを入力できるため、フィッシングからのさらなる保護になる

推奨事項は組織やソフトウェアメーカーに対しても

組織やソフトウェアメーカーへの推奨事項もあります。
要点だけ紹介します。

組織への推奨事項

・組織は、特に悪意ある者に被害を受けた際に、ミスをしても壊滅的な故障を起こさないシステムを構築するべき

ソフトウェアメーカーへの推奨事項

・設計上もデフォルトでも安全であるソフトウェアを開発する責任を負うべき

おわりに

注目されている「Stop Hacklore!」を紹介しました。

Hacklore(ハックロア)は、根拠が曖昧、かつ、時代遅れのセキュリティ対策です。

世間がそれを信じているため、神話化されてしまったセキュリティ対策は聖域扱いになりつつあります。

誰も意見を挟みにくい領域でしたが、「No!」と言ってくれたことはスッキリします。

筆者も意味がないと思っていたセキュリティ対策が含まれています。

「Stop Hacklore!」に感謝しつつ、今後に注目していきたいと思います。

参考になりましたら幸いです。

タイトルとURLをコピーしました