🦓 ゼブラ・クロッシング：簡単なデジタル安全チェックシート

🤔 このガイドは誰のためにあるのか

• 仕事、SNS、金融取引など、日常的にインターネットを利用している方。
• デジタルの安全性とプライバシーを確保するためにもっと努力したいと思っているが、すぐに危険にさらされているわけではない。(そのような場合は、専門家に相談してください。）
• テクノロジーにある程度慣れている。例えば、コンピュータやスマートフォンの設定画面に入ることが不安ではない。

🗺 このガイドの由来

ここに掲載されているアドバイスは、私たちがアメリカ、カナダ、香港で生活し、働いた経験から得たものです。ここに書かれていることの多くは他の地域にも当てはまるが、もし私たちの記事に欠けている部分があれば、ぜひご連絡ください。

🌱 このガイドの使い方

• お勧めしている実施項目は、難易度の低い順に並んでいる。レベル1からスタートして、どんどんステップアップしていこう！
• すべての方にはレベル1と2の項目を実施することを推奨している。そうすると最も広く使用されている（かつ単純な）サイバー攻撃から自分を守ることができる。1～2時間もかからない程度であるため、ぜひ目を通して実施していただきたい。
• レベル3は、少し時間とお金がかかるため、100パーセント必要とは言えないが、少しでも不安があり、余裕があるのであれば、レベル3も目を通したほうがよいかもしれない。ケースバイケースでもあるが、レベル3を実施するには1時間から半日までかかることもある。
• その後に掲載されているシナリオは、よりリスクの高い状況を想定したもので、自分に当てはまるものがあるかどうか、見てみてください。(リスクの高いシナリオなので、レベル1～3の全項目は既に実施済みが前提となっている。)
• このガイドは随時に更新されている。GitHubにプルリクエストを提出したり、独自のバージョンをフォークしたりして、ご自由に使ってください。

🗣 ほかの言語でこのガイドを読む

• English (英語)
• 繁體中文（中国語)
• Deutsch（ドイツ語、作成中）
• Türkçe (トルコ語, 作成中)
• Italiano (イタリア語、作成中)

☕️ このガイドを支持する

• ヴァーチャルコーヒーを買う

🕒 最後の更新

• 2021年10月4日

---

🧐 理論・科学

🎯 脅威モデリング

• どのような危険があるのか？例：クレジットカードの情報がハッキングされる、企業の情報が盗まれる、ネット上での嫌がらせ・ドクシングなど。
• どんな情報を守っているのか？例：機密文書、プライベートな写真。
• 誰でもネットでの情報漏洩などのリスクが少なからずある（そうでなければ、わざわざパソコンや携帯電話にパスワードをかけたりしない）。不安を否定したり、被害妄想に陥ったりする前に、具体的にどういうリスクがあるのか考えることが大切である。

🔗 最弱のリンク

最も弱いリンクこそが重要であることを忘れてはいけない。例：パスワード復旧がメールに連動している場合、ハッカーはメールにアクセスするだけでよい。

🔡 暗号化レベル

• 暗号化しない：データを傍受した第三者は、そのままデータを読むことができる。
• 通常の暗号化：データが暗号化されているので、第三者はデータを読むことができない。ただし、プラットフォーム（GoogleやFacebookなど）は依然としてアクセス可能であり、裁判所から要求された場合にはデータを引き渡すこともある。
• エンド・ツー・エンドの暗号化：データを読み取ることができるのは、元の送信者と受信者だけである。つまり、プラットフォームでさえもアクセスできない。裁判所から要請があっても、サービスプロバイダーはメッセージを持っていないため、引き渡すことができない。

🧩 メタデータ

データに関するデータ - 例えば、どの電話番号にどのくらいの時間で電話をかけたか（通話内容は含まない）など。十分なメタデータがあれば、ハッカーはあなたが誰であるか、誰を知っているか、どこに行こうとしているかについて、把握することができる。なお、メタデータに関する法的保護は、一般的に弱いものである。

---

💦 レベル1の推奨項目

✅今やるべきこと

パスワードの強化

• 10文字未満のパスワードはよくない。関連性がない単語をつなぎ合わせるのは問題ない。
• 主要なオンラインサービス（メール、銀行、Facebookなど）のセキュリティ質問を再確認し、友人やGoogleであなたを検索した人が簡単に答えられないようにしておこう。
• パスワードの漏洩はよくあることなので、サービスごとに異なるパスワードを使用するようにしよう。この作業を簡単にするために、パスワードマネージャー（Wirecutterでは、💰 1PasswordやBitWardenを推奨）を使って、パスワードの保存、自動入力、生成を行う。今のところ、重要なサービス（メール、SNS、銀行、クラウドストレージ）には、固有のパスワードを使用するようにしよう。
• 携帯電話のロック解除コードは、最低でも9桁の一般的でない／明らかでないものを使用する。

重要アカウントのダブルロック

2ファクタ認証（2FA、2段階認証とも呼ばれる）を利用すると、入力したパスワードの上にさらにロックをかけることができる。通常は、専用アプリやSMSを介して携帯電話に送信されるショートコードの形となる。

• 認証アプリをダウンロードする（WirecutterではAuthyを推奨）。アプリはSMSよりもはるかに安全なので、利用可能であれば利用しよう。
• メールサービスで2FAをオンにする。 - 電子メールサービス。GmailやProtonmailの手順を参照するか、使用しているメールプロバイダーの手順をこちらで確認してください。 - よく使うSNSのアカウント。Twitter、Facebook、Instagram、その他のサービスの手順を参照してください。 - その他のオンラインアカウントでも、アクセスできなくなると大惨事になるものがあれば、2FAを有効にすることを検討してください。Two Factor Authについてはこちらをご覧ください。
• 携帯電話を紛失した場合に備えて、認証アプリのクラウドバックアップを有効にする。Authyの手順を参照してください。

メール

• ウェブメールサービスを利用している場合は、https:// のURLを使ってログインしているかどうかを確認してください。URLがない場合は、他のメールサービスを利用してください。
• 2ファクタ認証をオンにした後、メールサービスがバックアップコード（携帯電話を紛失した際に使用する1回限りのコード）に対応しているかどうかを確認してください。Gmailの手順をご覧ください。

デバイスの暗号化

• コンピュータのハードドライブを暗号化する。
  • Mac：アップル社の手順を参照してください。
  • Windows： Microsoft社の手順書を参照（BitLockerがある場合はそれを使用）。
• 携帯電話のストレージを暗号化する。
  • iOS：自動的に暗号化される。
  • Android：最近のバージョンでは自動的に暗号化される。「設定」→「セキュリティ」→「暗号化」で再確認してください。
• バックアップも安全にしよう！
  • バックアップ用のハードドライブを暗号化する。
    • Mac：Time Machineを使用している場合は、Appleの手順書を参照してください。
    • Windows：こちらの手順を参照してください。
• 注意：暗号化は、デバイスがオフのときにのみ完全に有効であることを忘れないでください。

その他

• 携帯電話のSIMカードにピンコードを設定する。
  • iPhoneの手順を参照してください。.
  • Androidの手順を参照してください。.
  • 必要に応じて、携帯電話会社のウェブサイトを検索して、デフォルトのパスワードを確認してください（キャリアによって異なる）。
• コンピュータのファイアウォールをオンにする。
  • Mac：「システム環境設定」 →「セキュリティとプライバシー」→「ファイアウォール」
  • Windows：「コントロールパネル」 → 「システムとセキュリティ」 → 「Windows ファイアウォール」
• コンピュータのリモートアクセスをオフにする。
  • Mac：「システム環境設定」→「共有」→「リモートログイン、リモート管理」
  • Windows：「コントロールパネル」 →「 システムとセキュリティ」 → 「システム：リモートアクセスを許可する」 →「 このコンピュータへのリモート接続を許可しない」
• コンピュータに基本的なウィルス対策ソフトを設定する。
  • Mac：必要なし。(Wirecutterの英語説明を読む)
  • Windows：「Microsoft Defender Antivirus」がオンになっていることを確認し、ランサムウェア対策機能を追加でオンにする。
• 2ファクタ認証を回避するアプリ固有のパスワードをオフにする（例：Gmailの手順書）。
• Googleカレンダーの設定で、招待状を自動的に追加される機能をオフにする（理由はこちら）。
• Facebookの「ログインアラート」をオンにする。.
• Microsoft Officeでマクロを無効にする。.
• ロックされたデバイスをUSBアクセサリで操作できないようにする。
  • iOS：「設定」→「Face IDとパスコード」→「ロック時のアクセスを許可：USBアクセサリ」をオフにする。
  • Android：デフォルトではオフ、開発者向けオプション設定がオンになっている場合のみ利用可能。

💪🏽 身につける習慣

メール

• フィッシング詐欺に注意してください。以下を常にダブルチェックしよう：
  • 送信元のメールアドレス
  • 送信されたリンクのドメイン
• 不要なメールの添付ファイルは開かない。可能であれば、まずオンラインドキュメントリーダーで開くか、プレビューする。同僚には、ファイル共有サービス（Dropbox、Google Drive、Tresorit、SpiderOak）を使うようにお願いしよう。
• 疑わしい添付ファイルをVirusTotalにアップロードしてチェックしてもらう。(ただし、VirusTotalに登録されたファイルはセキュリティ研究者に公開されるので、機密情報は登録しないようにしよう。)

すべてのデバイスの更新

• 端末にOSのアップデートの通知が来たら、できるだけ早く実行しよう。
• アプリの自動アップデート機能がある場合は、それをオンにする。アプリを開いたときにアップデートを促すメッセージが表示される場合は、アップデートしてください。
• ルーターやその他のインターネット接続機器のファームウェアのアップデートがあるかどうかを時々チェックする。

その他

• 寄贈/譲渡する前に、デバイスを消去してください。上記に書いてあるように、すべての携帯電話やコンピューターを暗号化している場合は、通常のファクトリーリセットでほぼすべてのケースに対応できる。コンピュータのハードドライブのセキュリティをさらに強化したい場合は、Wiredのガイド（英語）をご覧ください。
• 公共の充電スタンドやポートでは携帯電話を充電しないでください - データが盗まれる可能性がある。代わりにポータブルバッテリーの充電を検討してください。

---

👍素晴らしい！基本的なことは押さえているね。
👍 自分にご褒美として、お茶とストレッチを。
👍さて、次のレベルに入る準備はできた？

---

💦💦 レベル2の推奨項目

✅ 今やるべきこと

プライバシーの強化

• よく使うSNSのプライバシー設定を確認しよう：自分のコンテンツを見られる人、コメントできる人、自分の位置情報を見られる人など。
  • Facebookによる追跡を制限するには、「Facebook外のアクティビティ」をオフにする（EFFの指示に従ってください）。
• 普段使っているメッセージングアプリのプライバシー設定を確認する：既読機能、「最後に見た」のタイムスタンプ、電話番号やプロフィール写真を公開するかどうかなど。
• これらの大手ハイテク企業が保有しているあなたに関するデータを確認し、不要なものは消去しよう。Google：My Activity、Alexaのプライバシー設定、Microsoftアカウント：プライバシー
• Firefoxをインストールして、コンピュータのデフォルトのWebブラウザとして設定する。
• 以下、ブラウザ保護の拡張機能 (アドオン) をコンピュータにインストールする（プライベート/シークレットモードを使用している間もオンにしておく）。
  • 広告ブロッカー（例：uBlock Origin）
  • トラッカーブロッカー（Privacy Badger）
  • HTTPS Everywhere.
• スマートフォンのどのアプリが位置情報にアクセスできるかを確認する。アプリが必要としていない場合はアクセスをオフにし、常に位置情報を追跡するアプリの数を最小限にする。
  • iOS：「設定」→「プライバシー」→「位置情報サービス」
  • Android：「設定」 →「位置情報」 →アプリによる位置情報へのアクセス
• Anrdoidでは、WifiとBluetoothのパッシブスキャンをオフにする：
  • 「設定」 → 「位置情報」 → 「Wi-Fi(Bluetooth)のスキャン」
• スマートフォンでは、インストールされているサードパーティ製キーボードを削除してください（サードパーティ製キーボードは、ユーザーが入力した内容をソフトウェアメーカーと共有することが多い）。iOSでもAndroidでも、アプリとしてインストールされているので、時間をかけて探して削除してください。どうしてもサードパーティ製キーボードを使いたい場合は、そのキーボードがオープンソースプロジェクトであり、第三者とデータを共有していないことを他の人が確認していることを確認してください。
• スマートスピーカーを使用している場合は、その録音機能をオフにする。
  • Google Home：「アクティビティコントロール」で、「音声録音を含める」のチェックを外す
  • Amazon Alexa：以下の指示に従ってください
• Amazon RingまたはEchoを所有している場合は、インターネットを見知らぬ人と共有するその機能をオフにする。
  • Alexaアプリ：「設定」 →「アカウント設定」 → 「Amazon Sidewalk」

ご自宅のWifiルーターの設定

• 管理・設定ダッシュボードにログインする（ルーターの説明書をご確認ください。通常はWebブラウザで http://192.168.0.1 にてアクセスできる）。
• このダッシュボードにログインするためのパスワードが本当に簡単なものであれば、それを更新してください。
• 今、ネットワークに接続されているデバイスに目を通し（アクセスコントロールが見つかるまでクリックしてください）、リスト上のすべてのデバイスが何であるかを確認してください。
• これらのオプションが表示されている場合は、それらをオフにしてください。「詳細設定」または「ゲートウェイ機能」で探してみてください。
  • UPnP (ユニバーサルプラグアンドプレイ)
  • WPS (wi-fi protected setup)
  • リモート管理

その他

• デバイスの追跡アプリを設定しておけば、万が一デバイスを紛失したときに、ウェブサイトにログインしてリモートでデバイスを見つけたり、消去したりすることができる。
  • iOS & Mac：「探す」アプリの設定方法
  • Android：「端末を探す」の設定方法.
  • Windows：「デバイスの検索」の設定方法.
• メインのメール/SNSアカウントに連携しているアプリやサードパーティアプリを確認する。これらのサービスは、例えばFacebookのデータにアクセスしたり、Facebookへの投稿を自動的に行う許可を得たりしている可能性がある。(FacebookとGmailでの確認方法はこちらをご覧ください。)
• パソコンのWebブラウザにインストールされている拡張機能やアドオン、プラグインを確認し、しばらく使っていないものやインストールした覚えのないものは削除する。

💪🏾 身につける習慣

プライバシーの強化

• 特に、個人を特定したり、追跡したり、詐欺にあったりする可能性のある情報（住所、電話番号、誕生日など）は、オンライン上ではあまり公開しないようにしよう。オンラインでの発言はほとんどすべてどこかに記録されており、あなたの設定が安全であっても、受信者の設定が安全でない場合もあることを忘れないでください。
• Google MapsやYelpなどで地元の企業のレビューを投稿する場合は、ペンネームで新しいアカウントを作成してください。Googleマップでは、Gmailで使用しているプロフィール画像とフルネームが表示されるので、特に注意が必要である。
• ドメインを所有している場合は、WHOISプライバシーサービスを利用してください（お金を払う価値がある）。ただし、WHOIS検索/履歴ツールでは、本当の住所を入力したことがある場合、ログから削除するのは非常に難しいので注意が必要である。

オンライングループでの発言に注意

”プライベート”のSlackグループ、Facebookページ、WhatsAppグループチャット、Telegramチャンネルでは、あとから後悔するような発言はしないようにしよう。

• メンバーの誰かがすべてのデータを漏洩する可能性がある。
• 管理者は通常、2人の間で交わされたプライベートなダイレクトメッセージや、時には削除されたメッセージも含め、グループ内のすべてにアクセスできる。
• 実名や写真を使用していなくても、発言内容は（アカウントにリンクしている）電話番号や電子メールにさかのぼることができることが多い。
  • Telegramでこれを防ぐには、「設定」→「プライバシーとセキュリティ」→「電話番号」で、以下を設定する：
    • 「誰が私の電話番号を見ることができるか」を「誰もいない」に設定する。
    • 「私の電話番号で私を見つけられる人」を「私の連絡先」に設定する。

その他

• 新しいモバイルアプリをダウンロードするときは、正しいアプリかどうかを再確認しよう。既存の人気アプリの名前やアイコンを少し変えて人を騙そうとする偽アプリがたくさんある。
• たまには自分の携帯電話にどんなアプリがインストールされているか確認し、使わなくなったアプリは削除しよう。
• 誰かにパスワードを送る必要がある場合は、パスワードを半分に分けて、2つの異なるチャンネル（例：メール＋音声通話）で送る。
• ノートパソコンの前面カメラにステッカー（またはウェブカメラカバー）を貼る。
• Google/Twitter/Facebookを使って他のサービスにサインアップ/ログインしないようにしよう - それぞれのサービスは独自のアカウントを持つべきである。

---

🎉 おめでとうございます！あなたは今、
🎉 割とセキュアでしょう。:)
🎉 今日はゆっくりしょうね。
🎉 明日、レベル3のために戻ってきてくださいね。

---

💦💦💦 レベル3の推奨項目

✅やること

機密ファイルのロック

• 他人にアクセスされたくないファイルを特定する（例：プライベートな写真、パスポートの書類など）。
• CryptomatorやVeracryptを使って、パスワードで保護された暗号化された金庫を作ろう。
• コンピュータと携帯電話の両方に設定してください。
• ファイルをこれらの安全な金庫に移動させる。古いフォルダや携帯電話にファイルが残っていないか確認しよう。

機材のアップグレード💰

• 公共のネットワーク（カフェのWiFiなど）を利用する時や、自宅でもサービスプロバイダーに行き先を知られたくない場合は、有料のVPNサービスを利用しよう。無料のVPNサービスは、事業者があなたやあなたのデータを保護するための十分なインセンティブを持っていないため、悪質である。WirecutterとFreedom of the Pressは、MullvadとIVPNを推奨している。
• パソコンや携帯電話用に、プライバシースクリーンを購入しよう。（人に画面を見られないようにする。3Mの例を参照。）
• ハッキングされにくい携帯電話を購入する。つまりiPhone、またはGoogleが提供している"純粋”な Androidを実装しているスマートホン。

古いパスワードの再確認

• オンラインサービスのパスワードは、すべてパスワードマネージャーに保存しよう。(適切なブラウザのアドオン/プラグインがインストールされていれば、ログインプロセス中に関連するすべての詳細を取得できる)。
• パスワードマネージャーの分析機能を使って、どのアカウントやサービスのパスワードが弱いかを確認し、自分の個人情報が含まれている可能性があるものや、どうしても失いたくないものを更新する。

エンドツーエンドで暗号化されたアプリの使用

• モバイルメッセージングアプリ：Signal（電話番号でサインアップ）、Wire (Personal)（メールでサインアップ）
  • メッセージは1週間後に失効させることを検討する。
  • Signal：「設定」→「プライバシー」→「メッセージの消滅」→「新規チャットの既定タイマー」を選択
  • Wire：アプリ全体の設定は存在しない。タイマーアイコン⏱をタップ／クリックして、会話ごとに設定する必要がある。
• 1対1または少人数の音声/ビデオ通話：引き続き「Signal」「Wire」を使用
• 大人数のビデオ通話：大人数での通話ではプライバシーの確保が難しく、特に大人数での通話では公開的なイベントみたいなものになることが多い。プライバシーを特に必要とする場合は、Freedom of the Pressのチャートを参照してください：どのビデオ会議ツールが仕事に適している？
• オンラインのファイル共有/バックアップ：Tresorit、Spideroak One。(Google DriveやiCloud上のファイルはエンド・ツー・エンドで暗号化されていないことを忘れないでください。）

---

😲 素晴らしい！3つのレベルをすべてクリアした！
😲 よくできたね。では早速、以下の項目を見てみよう。
😲 自分に当てはまるものがないか、確認してみてください。

---