数週間前、AP通信のTwitterアカウントがにハッキングに遭い株価を大きく下げた時、私はショックを受けた。APという、頭のいい人たちを擁し新しいメディアへの対応にも長い歴史を持つニュース組織が、フィッシングによってハックされるという事実を私は受け入れられなかった。それはまるでバンク・オブ・アメリカが幼稚なクラッカーにハックされるようなものだ。
悲しいことに、それは繰り返し起きた。なぜか? 有難いことに、Onionの人たちが先見の明をもって、”Syrian Electronic Army” [SEA、シリア電子軍]がAPのTwitterストリームを「ハックした」時、正確に何が起きていたのかを説明してくれた。
企業のソーシャルメディアのアカウントを管理している人は必読だ。要点は以下の通り。
可能であれば、担当者全員に会社のメールシステム以外で連絡を取る方法を用意すること。Guardinのハック事件で、SEAは複数の内部メールのスクリーンショットを掲示していたが、恐らく見過ごされていたメールアドレスに侵入したものと思われる。
私は3番目の助言が最も重要だと思う。Twitterのパスワードは定期的に変更し、さらに重要なのは、決して、絶対に、ブラウザー経由でTwitterパスワードを変更するよう促すリンクをクリックしないことだ。Twitterパスワードを変更する必要のある時は、直接Twitter.comで行うか、あるいはTwitterにメールしよう。もしあなたの組織がAPかACLU(アメリカ自由人権協会)かBoston Pony And Terrier Lovers Of America Clubなら、きっと協力してくれるはずだ。
Twitter自身も、2段階認証か少なくとも誰かがパスワードを変更したらメールを送るべきだ。これは義務だ。いまやTwitterは企業コミュニケーションのためのツールであり、どこかのウェブフォーラム程度のセキュリティーでは論外だ。会社のTwitter責任者も企業ドメインから完全に独立したメールアドレスを持ち、その人物はパスワード変更ページのURLをチェックする手順を決め、すべてが適正である場合に限りパスワードを変更すべきだ。幼稚なクラッカーの目を覚ますことになるかもしれないが、殆どの「ハッカー」は、自分の技術手腕ではなく標的の愚行に頼っている。
愚かなまねはしないように。
[原文へ]
(翻訳:Nob Takahashi)