Kev

Kev

ホームアーカイブ

一般的な脅威

#隐私#安全85
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
总的来说,建议适用于大多数人的威胁或目标。重要的是了解您选择使用的工具的优点和缺点,因为没有一种工具可以完全保护您免受所有威胁。匿名和隐私是不同的概念,匿名是将在线活动与真实身份分离。保护隐私和安全是重要的,特别是在面对被动攻击时。有针对性的攻击更难应对,包括通过电子邮件发送恶意文档、利用浏览器和操作系统漏洞以及物理攻击。E2EE加密可保护隐私,但需注意服务提供商可能访问您的对话。监控资本主义以获取和商品化个人数据为中心,私营公司的跟踪和监视令人担忧。审查制度包括政府、网络管理员和服务提供商执行在线审查。选择软件和制定备份计划是重要的。

広義に言えば、私たちは提案をほとんどの人に適用可能な脅威または目標として分類します。これらの可能性のいずれか、一つ、いくつか、またはすべてに関心がないかもしれません。使用するツールやサービスは、あなたの目標によって異なります。また、これらのカテゴリーの外に特定の脅威に直面することもありますが、それは良いことです!重要なのは、選択したツールの利点と欠点を理解することです。なぜなら、実際にはすべての脅威からあなたを守ることができるツールは存在しないからです。

  • 匿名性 - あなたの本当の身元からオンライン活動を保護し、あなたの身元を特定しようとする人々から守ります。
  • 標的攻撃 - ハッカーやその他の悪意のある行為者から、あなたのデータやデバイスに特にアクセスしようとする攻撃から守ります。
  • 受動的攻撃 - マルウェア、データ漏洩、その他の同時に多くの人を対象とした攻撃から守ります。
  • サービスプロバイダー - サービスプロバイダーからあなたのデータを保護します(例えば、E2EE を使用することで、サーバーがあなたのデータを読み取れなくなります)。
  • 大規模監視 - 政府機関、組織、ウェブサイト、サービスが協力してあなたの活動を追跡するのを防ぎます。
  • 監視資本主義 - Google や Facebook などの大規模な広告ネットワークや無数の他の第三者データ収集者から自分を守ります。
  • 公開露出 - 検索エンジンや一般の人々がオンラインでアクセスできるあなたに関する情報を制限します。
  • 検閲 - オンラインで発言する際に情報を検閲されたり、自分自身を検閲されたりしないようにします。

あなたの具体的な懸念に応じて、これらの脅威のいくつかは他の脅威よりも重要かもしれません。例えば、価値のあるまたは重要なデータにアクセスする権限を持つソフトウェア開発者は、主に標的攻撃に関心を持つかもしれませんが、彼らは依然として大規模監視プログラムに巻き込まれないように自分の個人データを保護したいと思うかもしれません。同様に、多くの人々は自分の個人データが公開されることを主に心配しているかもしれませんが、受動的攻撃のようなセキュリティに重点を置いた問題にも警戒する必要があります。

匿名性とプライバシー#

匿名性

匿名性はしばしばプライバシーと混同されますが、異なる概念です。プライバシーは、あなたのデータの使用と共有に関する一連の選択ですが、匿名性はあなたのオンライン活動があなたの本当の身元から完全に切り離されていることを指します。

例えば、告発者やジャーナリストは完全な匿名性を必要とするより極端な脅威モデルを持つことがあります。これは、彼らの行動、彼らが持っているデータ、悪意のある行為者や政府のハッカーから攻撃されないことを隠すだけでなく、彼らの完全な身元を隠すことも含まれます。これが彼らの匿名性、プライバシー、安全を守ることを意味する場合、彼らはしばしば便利さを犠牲にします。なぜなら、彼らの生活がそれに依存している可能性があるからです。ほとんどの人はそこまで行く必要はありません。

セキュリティとプライバシー#

受動的攻撃

セキュリティとプライバシーはしばしば混同されます。なぜなら、プライバシーを得るためにはセキュリティが必要だからです:ツールが後であなたのデータを公開する攻撃者によって簡単に利用される場合、それらが設計上プライベートであっても無駄です。しかし、逆は必ずしも正しいわけではありません:世界で最も安全なサービスが必ずしもプライベートであるわけではありません。最良の例は、Google にデータを委ねることです。Google はその規模を考慮し、業界のトップセキュリティ専門家を雇ってインフラを保護しているため、セキュリティ事件はほとんど発生しません。Google は非常に安全なサービスを提供していますが、ほとんどの人は Google の無料消費製品(Gmail、YouTube など)において自分のデータがプライベートであるとは考えていません。

アプリケーションのセキュリティに関して、私たちは通常、使用しているソフトウェアがマルウェアであるか、あるいはいつかマルウェアに変わる可能性があるかを知ることができません(時には知ることができません)。最も信頼できる開発者でさえ、彼らのソフトウェアに将来的に悪用される可能性のある重大な脆弱性が存在しないことを保証することはできません。

マルウェアによる損害を最小限に抑えるためには、セキュリティを分割して使用するべきです。例えば、異なる作業に異なるコンピュータを使用したり、仮想マシンを使用して異なる関連アプリケーションを分けたり、アプリケーションのサンドボックスと強制アクセス制御に非常に重点を置いたセキュリティオペレーティングシステムを使用することが考えられます。

ヒント
モバイルオペレーティングシステムは通常、デスクトップオペレーティングシステムよりも優れたアプリケーションサンドボックスを持っています:アプリケーションはルートアクセスを取得できず、システムリソースにアクセスするための権限が必要です。デスクトップオペレーティングシステムは通常、適切なサンドボックスに遅れをとっています。ChromeOS は Android に似たサンドボックス機能を持ち、macOS は完全なシステム権限制御を持っています(開発者はアプリケーションをサンドボックスに選択的に参加させることができます)。しかし、これらのオペレーティングシステムは、それぞれの OEM に識別情報を送信します。Linux はシステムベンダーに情報を提出する傾向がありませんが、脆弱性の悪用や悪意のあるアプリケーションからの保護は不十分です。これは、Qubes OS のような仮想マシンやコンテナを大量に使用する専用のディストリビューションによって緩和できます。

標的攻撃#

特定の人々を対象とした標的攻撃は、対処が難しいです。一般的な攻撃には、電子メールで悪意のある文書を送信したり、脆弱性(ブラウザやオペレーティングシステムの脆弱性など)を悪用したり、物理的な攻撃が含まれます。これを心配している場合は、より高度な脅威緩和戦略を採用すべきです。

ヒント
設計上、ウェブブラウザ、電子メールクライアント、オフィスアプリケーションは通常、第三者から送信された信頼されていないコードを実行します。複数の仮想マシンを実行し、これらのアプリケーションをホストシステムや互いに分けることは、これらのアプリケーションの脆弱性がシステムの残りの部分に危険を及ぼす機会を減らすための技術です。例えば、Windows 上の Qubes OS や Microsoft Defender Application Guard などの技術は、これを実行する便利な方法を提供します。

物理的な攻撃が心配な場合は、安全に検証されたブートを実施したオペレーティングシステム(Android、iOS、macOS、または TPM を搭載した Windows など)を使用すべきです。また、ドライブが暗号化されていることを確認し、オペレーティングシステムが TPM または Secure Enclave または Element を使用して暗号パスワードの入力試行を制限していることを確認すべきです。信頼できない人とコンピュータを共有することは避けるべきです。なぜなら、ほとんどのデスクトップオペレーティングシステムは、各ユーザーのデータを個別に暗号化しないからです。

サービスプロバイダーからのプライバシー#

サービスプロバイダー

私たちは、ほぼすべてのものがインターネットに接続されている世界に住んでいます。私たちの「プライベート」なメッセージ、電子メール、ソーシャルインタラクションは、通常どこかのサーバーに保存されています。通常、誰かにメッセージを送信すると、そのメッセージはサーバーに保存され、友人がメッセージを読みたいときにサーバーがそのメッセージを表示します。

これを行う明らかな問題は、サービスプロバイダー(またはサーバーをハッキングする者)がいつでもあなたの会話にアクセスできることであり、あなたはそれを全く知らないということです。これは、SMS メッセージ、Telegram、Discord などの多くの一般的なサービスに当てはまります。

幸いなことに、E2EE は、あなたとあなたが望む受信者の間の通信がサーバーに送信される前に暗号化されることによって、この問題を緩和できます。サービスプロバイダーがどちらの当事者の秘密鍵にもアクセスできないと仮定すれば、あなたのメッセージの機密性が保証されます。

ウェブベースの暗号化に関する注意事項
実際には、異なる E2EE 実装の有効性はさまざまです。Signal などのアプリケーションは、あなたのデバイス上でローカルに実行され、アプリケーションの各コピーは異なるインストールで同じです。サービスプロバイダーが彼らのアプリケーションにバックドアを導入しようとした場合、あなたの秘密鍵を盗もうとする場合、後で逆アセンブルによって検出される可能性があります。一方、Proton Mail のウェブメールや Bitwarden の Web Vault のようなウェブベースの E2EE 実装は、サーバーが動的にブラウザに JavaScript コードを提供して暗号化を処理することに依存しています。悪意のあるサーバーはあなたをターゲットにし、あなたの暗号鍵を盗むために悪意のある JavaScript コードを送信する可能性があり(そしてそれは発見されにくいです)。サーバーは異なる人々に異なるウェブクライアントを提供することを選択できるため、攻撃に気づいても、提供者の罪を証明することは非常に困難です。したがって、可能な限りウェブクライアントではなくネイティブアプリケーションを使用すべきです。

E2EE を使用しても、サービスプロバイダーは通常保護されていないメタデータに基づいてあなたを分析することができます。サービスプロバイダーはあなたのメッセージを読むことはできませんが、あなたが誰と通話しているか、どのくらいの頻度でメッセージを送信しているか、通常どの時間帯に活動しているかなど、重要なことを観察することができます。メタデータの保護は非常に珍しく、もしそれがあなたの脅威モデルに含まれる場合は、使用しているソフトウェアの技術文書を注意深く確認し、メタデータの最小化や保護があるかどうかを確認すべきです。

大規模監視プログラム#

大規模監視

大規模監視は、全人口(または大部分)の「行動、多くの活動または情報」を監視する複雑な作業です。これは通常、政府のプログラムを指し、エドワード・スノーデンが 2013 年に暴露したプログラムなどがあります。しかし、これは企業が政府機関のために行うこともあります。

監視マップ
監視方法やあなたの街での実施方法についてもっと知りたい場合は、電子前線財団の監視マップをチェックすることができます。フランスでは、非営利団体 La Quadrature du Net が運営する Technolopolice ウェブサイトを確認できます。

政府はしばしば、大規模監視プログラムをテロ対策や犯罪予防のための必要な手段として位置付けます。しかし、これは人権を侵害し、最も多くの場合、少数派や異議を唱える人々に不均衡に対して使用されます。

ACLU:9/11 のプライバシー教訓:大規模監視は前進の方向ではない
[エドワード・スノーデンが暴露した政府のプログラム、PRISM や Upstream など] に直面して、情報機関の職員は、NSA が何年にもわたってほぼすべてのアメリカ人の電話記録を秘密裏に収集してきたことを認めています。誰が誰に電話をかけているのか、電話がかけられた時間、そしてその持続時間などです。アメリカ国家安全保障局は日々このような情報を収集し、人々の生活や交友関係に関する非常に敏感な詳細を明らかにすることができます。例えば、彼らが牧師、堕胎提供者、依存症カウンセラー、または自殺ホットラインに電話をかけているかどうかなどです。

アメリカでの大規模監視が増加する中、政府は第 215 条のような大規模監視プログラムが実際の犯罪やテロの陰謀を阻止する上で「特別な価値がない」と認識しています。その努力は、FBI 自身の標的監視プログラムを繰り返すことが多いです。

オンラインでは、あなたはさまざまな方法で追跡される可能性があります:

  • あなたの IP アドレス
  • ブラウザのクッキー
  • あなたがウェブサイトに提出したデータ
  • あなたのブラウザまたはデバイスのフィンガープリンティング
  • 支払い方法の関連付け

[このリストは完全ではありません]。

大規模監視プログラムが心配な場合は、オンラインアイデンティティを分割したり、他のユーザーと混ざったり、できるだけ身元情報を漏らさないようにするなどの戦略を使用できます。

監視資本主義
監視資本主義は、個人データの取得と商品化を中心とした経済システムであり、その核心的な目的は利益を上げることです。

多くの人々にとって、民間企業による追跡と監視はますます懸念されています。Google や Facebook が運営する広告ネットワークのような遍在する広告ネットワークは、インターネット全体にわたってその制御するウェブサイトを超えて広がり、あなたの行動を追跡します。コンテンツブロッカーのようなツールを使用してサーバーへのネットワークリクエストを制限し、使用しているサービスのプライバシーポリシーを読むことで、多くの基本的な敵を避けるのに役立ちます(ただし、完全に追跡を防ぐことはできません)。

さらに、AdTech や追跡業界以外の企業も、データブローカー(Cambridge Analytica、Experian、Datalogix など)や他の当事者とあなたの情報を共有することがあります。あなたが使用しているサービスが典型的な AdTech や追跡ビジネスモデルに属していないからといって、あなたのデータが安全であると自動的に仮定することはできません。企業によるデータ収集を防ぐための最も強力な保護手段は、可能な限りあなたのデータを暗号化または混乱させ、異なるプロバイダーがデータを相互に関連付けてあなたのプロファイルを構築するのを難しくすることです。

公開情報の制限#

公の露出

データのプライバシーを保つ最良の方法は、最初から公開しないことです。オンラインで見つけた自分に関する不要な情報を削除することは、プライバシーを回復するための最良の第一歩です。

情報を共有するウェブサイトで、アカウントのプライバシー設定を確認してデータの拡散範囲を制限することが重要です。例えば、以下のオプションがある場合は、アカウントで「プライベートモード」を有効にしてください:これにより、あなたのアカウントが検索エンジンにインデックスされず、あなたの許可なしに見ることができなくなります。

もしあなたが本来持っていない情報を持つべきでないウェブサイトに本当の情報を提出してしまった場合は、虚偽の情報戦略を使用することを検討してください。例えば、そのオンラインアイデンティティに関連する虚構の情報を提出することです。これにより、あなたの本当の情報と虚偽の情報を区別できなくなります。

検閲を避ける#

検閲制度

包括的な政府、ネットワーク管理者、サービスプロバイダーなどの行為者は、オンライン検閲を実施することができます(異なる程度で)。これらの通信を制御し、情報へのアクセスを制限する努力は、常に言論の自由という人権と相容れないものです。

Twitter や Facebook などのプラットフォームが公衆の要求、市場の圧力、政府機関の圧力に屈するにつれて、企業プラットフォームに対する検閲がますます一般的になっています。政府の圧力は、企業に対する隠れた要求、例えばホワイトハウスが挑発的な YouTube 動画の削除を要求することなどです。

検閲の脅威を心配する人々は、Tor などの技術を使用して検閲を回避し、アカウントを任意に閉鎖できる中央集権的な権限を持たない Matrix などの検閲に対抗する通信プラットフォームを支持することができます。

ヒント
検閲を回避すること自体は簡単ですが、あなたがそうしている事実を隠すことは大きな問題を引き起こす可能性があります。あなたは、あなたの対戦相手がネットワークのどの側面を観察できるか、そしてあなたの行動を合理的に否定できるかを考慮すべきです。例えば、暗号化された DNS を使用することで、基本的な DNS ベースの検閲システムを回避するのに役立ちますが、あなたが ISP に対して訪問している内容を隠すことはできません。VPN や Tor は、ネットワーク管理者にあなたが訪問している内容を隠すのに役立ちますが、あなたが最初からこれらのネットワークを使用していることを隠すことはできません。プラグイン可能なトランスポート(例えば Obfs4proxy、Meek、Shadowsocks)は、一般的な VPN プロトコルや Tor をブロックするファイアウォールを回避するのに役立ちますが、あなたの回避試みは依然として探知や深層パケット検査などの方法で検出される可能性があります。

あなたは常に、検閲制度を回避しようとするリスク、潜在的な結果、そしてあなたの対戦相手がどれほど熟練しているかを考慮しなければなりません。ソフトウェアを慎重に選択し、万が一に備えてバックアッププランを策定すべきです。

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。