Parisa TabrizはGoogleのウェブブラウザChromeのセキュリティチームのマネージャーである。チームは利用者が安全にウェブを観覧できることを第一に考えChromeを開発している。攻撃は最大の防御と言われるように、犯罪者のマインドで考えることが彼女の仕事の一つである。彼女がどのようにあなたをハックするか、読み進めてみてほしい。

もし私がブラックハット（クラッカー）だったら…

きっと私はあなたをpwnする（コンピュータを乗っ取る）だろう（そこのn00b君、タイプミスじゃないよ）。

私があなたのクレジットカード番号や銀行口座の暗証番号を盗みたい、ソーシャルネットワークにあなたのIDでログインして恥ずかしい写真をアップしたい、としよう。またはもっと壮大な計画があって、そのゴールにたどり着くために必要な被害者の一人があなただ、としてもいいだろう。

もしあなたが私の知っている大半の人と同じだとすると、あなたは人生の多くの時間をインターネットに費やしていることだろう。私もその一人だ。インターネットは何をするにも役立つし、楽しいし、何より便利！あなたはネットを使って請求書の代金を払って、銀行残高をチェックして、ワンクリックでショッピングをする。またある時はソーシャルネットワークのアプリ上で元カレ／元カノの悪口を言ったり、友達と秘密を共有しあったり、写真を今の彼氏／彼女に送る。そうやって個人情報をウェブ上に（意図するしないに関わらず）ばらまいて、オンライン上にはあなたのペルソナが形成される — それを利用してあなたに狙いを定める。

つまり現実世界のあなたを知らなくても、私はあなたのオンライン上のデータを得ることが可能なのだ。あなたに関する有益な情報は、あなたのアカウントを乗っ取ることで得られることが多い、だから私はあなたのパスワードを得ようとするだろう。

パスワードを盗む方法なんていくらでもあるが、ほとんどのやり方はベッドの中で横になったままできる。

まず最初に私は、私があなたについて知っていることからパスワードを推測する、または私の相棒John the Ripperを使ってパスワードの総当たり攻撃を仕掛ける。この方法はSarah Palinに効いたし、他にも沢山の人に有効だった。

それが失敗したら、次はフィッシング攻撃だ。
この方法でこんなにも多くのセレブのヌード写真が盗まれた。

どうやって？まず見た目が本物のEメールまたはウェブサイトを作って、テクニカルエンジニアのふりをしてあなたにそれを送り、それをチェックするように促す（または宝くじか何かに当たったとしてもいい）。ナイジェリアの宝くじのような粗末なものじゃない、これまでに知り得たあなたの好みや趣味から入念にデザインされたメールやウェブサイトだ。そんなメールのヘッダーに細工がされていたり、ウェブサイトのURLがおかしかったりしても、そんなことあなたは気にする？本物のウェブサイトから画像を引っ張りだして、あなたがURLをクリックするその日のお昼くらいには、偽物のウェブサイトを立ち上げることができる。そしてあなたはユーザ名とパスワードを入力するだろう。あなたは何かがおかしいだなんて疑りもしない…だってこの世界に、あなたを後ろからつけている人間がいるなんて誰が想像できる？

きっとこの方法は成功する、だってこのフィッシング攻撃は私の父さんや友達も引っかかったんだから。父さんも友達もみんなすごく頭がいいのにね。

もしあなたがフィッシング詐欺についてしっかりした知識を持っていて、私の攻撃に引っ掛からなかったら、次はハッキングされたデータベースからあなたのパスワードを取得する — データベースなんてブラックハットから買うこともできるし、オンライン上に転がっていることだってある。同じパスワードを複数のアカウントで使用している人々なんて沢山いる、だからもしどこかであなたのパスワードを見つけたら、おそらくあなたは別のアカウントでもそれを使っているはずだ。

そうやってGawkerのパスワードは盗まれた。賭けてもいい、あなたは同じパスワードを複数のウェブサイトで使っている。

今までの全部がだめだったら、今度はあなたのコンピュータにマルウエアをインストールしようと画策する — ラップトップでもスマートフォンでもタブレットでもなんでもいい。すでに更新パッチが出ていたり、または広く知れ渡っている脆弱性 — あなたのコンピュータにあるソフトウエアのそんな脆弱性をターゲットにするのだ。またはあなたを騙して、安全なソフトウエアのふりをしたマルウエアを仕込むことも可能だ。マルウエアを仕込んだあとは、あなたがキーボードでタイプするすべての文字は私に筒抜けになる。

そしてあなたはそのマルウエアが仕込まれたコンピュータにパスワードを打ち込むだろう。

ブラックハットはホテルのコンピュータや空港のキオスク、または公共端末にマルウエアを仕込む。そういう場所で、個人端末を置いてきた沢山の人々がインターネットへのアクセスを必要としていることを知っているからだ。この方法だとあなただけをターゲットに絞ることはかなり困難ではあるが、そういった場所の共有コンピュータを利用したことのある人はパスワードをすでに盗まれていると思った方が良いだろう。

未だにびっくりするのは、そういった何人もの見ず知らずの人々に使われているコンピュータに、自身のセンシティブな情報を打ち込む人々がいるということだ！使う時に何も考えないのだろうか？

でも…私はブラックハットではない。

私はブラックハットと、彼らがユーザに危害を与えるその手口からあなたを守りたい。

インターネットへのオープンなアクセスは素晴らしい機会へと繋がっている、でも犯罪と無縁というわけではない。オンライン上で安全を確保することは、現実世界のそれと同等に大切なことだ。ここで幾つかの最善の方法を紹介しよう：

• 何かの援助や賞の提供をうたうEメールには用心しよう。美味しすぎる話だったら、高確率でフィッシング詐欺だ。疑わしいと思ったら、ソースを直接確認しよう（サポートナンバーに電話をかけるなど）またはテクノロジーに精通した友達に相談するのも良い。

• センシティブなアカウント用のパスワードに同じものは利用しない、それに誰かとパスワードを共有するのもNG！誰かというのはあなたの旦那、ガールフレンド、それに親友も含む。共有を拒むことで関係が悪くなるかもしれない、または相手が我慢できなくなってあなたのパスワードを覗き見するかもしれない。可能であれば二段階認証の設定を心がけよう、そうすればアカウントのプロテクションはパスワードだけに依存しなくなる。パスワードマネージャーを使うのも良い、強固なパスワードを生成／保存してくれる。
• 公共施設のコンピュータや他人と共有するコンピュータを使うときはセンシティブなアカウントを使うのはやめよう。そのコンピュータがウイルスに感染しているかどうかなんてわからないから、そういったコンピュータを利用するときはセンシティブな情報（あなたの知らない誰かに共有したくない情報）を打ち込むことは避けることがベストだ。
• あなたのアカウントのパスワードのリカバリー方法をチェックしよう、または最新の方法にアップデートしよう。一番大事なEメールアドレスは特に！ほとんどのオンラインサービスにはパスワードを忘れた場合のために、リセット方法やリカバリー方法があるはずだ。あなたのアカウントを狙う攻撃者もそれを知っているし、彼らは”リカバリーのために必要な情報”を利用してアカウントを乗っ取ろうとするだろう。
• あなたのコンピュータやスマートフォンにインストールしているソフトウエアやアプリを気にするようにしよう。多くのマルウエアは魅力的なフリーソフトウエア（photoshop_crack.exe等）やセキュリティアップデートのふりをしていることが多い。そういった魅力的なモバイルアプリやブラウザ拡張機能はインストール時に多くのpermissions（権限）を要求してくることが多い。用心を忘れずに！
• プログラムは常に最新にするように心がけよう。偏った意見になるが、私はChromeとChromebooks（Chrome OSを使ったコンピュータ）を利用することを強く勧める。自動的にアップデートしてくれるので心配する必要がなくなる。

残念だけど、私も含め、コンピュータを利用する人でハッキングされない安全を保障されている人は一人もいない。よくも悪くも考えさせられる問題であり、現実世界の安全性と同等に重要である。私は前述の方法をきちんと守っているし、そのおかげで私は今安全でいられるのだと思う。あなたも是非実践してほしい。