公共Wi-Fiに接続するのが怖いですか?Bluetoothをオンにするのが恐ろしいですか?あなたは「ハックロア」、つまりサイバーセキュリティに関する作り話に騙されて、本当の危険から目をそらされているかもしれません。多数の最高セキュリティ責任者や元CISA職員が、これらの神話を打ち破り、実際にハッキングされない方法を示すための取り組みとウェブサイトを立ち上げました。
ハックロアはハッキングとフォークロア(民間伝承)を組み合わせた言葉で、Hacklore.orgは「神話と現実を分ける」ために存在し、データやデバイスを守るための有用なヒントを提供しています。例えば、パッチをインストールする、ソフトウェアを最新の状態に保つ、強力なパスワードやパスキーを使う、多要素認証を有効にする、などです。公共Wi-Fiを避けたり、QRコードを絶対にスキャンしない、といったアドバイスとは対照的です。
後者のアドバイスは、セキュリティリーダーたちが廃止したい時代遅れの助言リストに挙げられており、86人のセキュリティリーダーには、元CISAディレクターのジェン・イースタリー、元CISA上級顧問で元Yahoo CISO、初代民主党全国委員会CISOのボブ・ロード、Microsoft副CISOのジェフ・ベルナップ、元Uber CISOのジョー・サリバン、Google Chrome副社長のパリサ・タブリズなど、多くの著名人が含まれています。
ロード氏がこの取り組みを主導し、The Registerに対し、いくつかの要因がHackloreのタイミングを決定づけたと語りました。
「CISOの友人たちは、私がこの手の古いアドバイスが嫌いだと知っているので、よく骨董品のような助言を送ってきます。数週間前にそのうちの一人が記事を共有してくれて、それがサイトを始めるきっかけになりました」とロード氏は述べました。「それ以上に、時代遅れのガイダンスを完全に廃止しようという支持が高まっているのを感じています。そして、サイバーマンデーやホリデーシーズンの旅行前に必ず現れる悪いサイバーセキュリティのアドバイスに対抗するため、今日を締め切りに、最も一般的な侵害が実際にどのように発生するかに根ざしたガイダンスを示すことにしました。」
署名者たちが廃止を望むその他の時代遅れのアドバイスには、「公共のUSBポートでデバイスを充電しない」(実際には「ジュースジャッキング」の事例は存在しないと指摘)、「Bluetoothや近距離無線通信をオフにする」(政治家や政府関係者、企業幹部、人権擁護者、ジャーナリストなどの高価値ターゲットでない限り、無線による攻撃は極めて稀)などがあります。
さらに、Cookieをクリアしたり削除したりしても、セキュリティが「有意に」向上したりトラッカーを防げるわけではなく、定期的にパスワードを変更することで安全になるという証拠も全くありません。実際には、弱いパスワードや使い回しにつながることが多いのです。
「この種のアドバイスは善意ですが、誤解を招きます」とセキュリティリーダーたちは書いています。
その代わりに、組織はフィッシング耐性のあるMFAを必須とし、パスワードの廃止に取り組み、「人がミスをしても致命的に失敗しないシステムを構築すべきだ ― 特に悪意ある攻撃者の被害者になった場合はなおさら」と記しています。また、従業員が不審なデジタル活動を簡単かつ明確に報告できる方法を整備し、報告には迅速に対応することも推奨しています。
従業員を責めてはいけない、と彼らは付け加えます。誰かのミスで会社が被害を受けた場合、それはシステムの設計ミスであり、最初から耐障害性を持たせるべきだったと手紙には記されています。
そして、ロード氏が主導し、CISAのSecure by Designソフトウェアの取り組みをイースタリー氏の指導の下で進めたことからも予想できるように、このグループはソフトウェアメーカーにも「セキュア・バイ・デザイン」のソフトウェアを構築し、欠陥のないソフトウェアを出荷するためのロードマップを公開するよう呼びかけています。
また、プロバイダーにはネットワークトラフィックを保護するために最新の暗号化プロトコルを使用し、セキュリティ研究者のインセンティブとしてバグ報奨金プログラムを活用し、すべてのソフトウェア脆弱性について「完全で正確かつタイムリーな」CVE記録を公開することを求めています。
「私たちは、広報担当者や意思決定者に『ハックロア』 ― キャッチーだが不正確なアドバイス ― の拡散をやめ、実際に被害を減らすガイダンスを共有するよう強く求めます」と彼らは書いています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/24/hacklore_launch/
