2015年7月27日月曜日

あなたのパスワードは安全ですか?  パスワードの安全活用と悪用される危険を防ぐ方法とは

「パスワードを複雑にしているから安全」と考えていませんか? 実は、私はそう考えていました。しかし、同じパスワードを複数サービスで使っていると、いくら複雑にしてもダメです。

最近、「パスワードリスト攻撃」が増大中で、何らかの手段により盗んだパスワードを用いて、他のサービスも不正利用されます。この場合、いくらパスワードを複雑にしていても役に立ちません。

同じパスワードを複数サービスで使っていると、この「パスワードリスト攻撃」に会う危険性が増します。

また、パソコンがウイルスに感染することでパスワードが漏えいしたり、メールで銀行などを名乗りパスワードを不正に入手したり、電話でクレジットカード会社とだましパスワードを入手したりと、パスワードを盗む攻撃は様々あります。

今回は、パスワードを守り、勝手にサービスを利用される危険を防ぐ方法を考えてみたいと思います。また、パスワードを悪用する方法についても紹介します。


なお、ログインの際に、パスワードに加えてセキュリティコードの入力が必要な「2段階認証」というのがあります。これを利用することで、パスワードを強化し、「パスワードリスト攻撃」も防ぐことができます。これについても簡単に紹介します。

最近では、この「2段階認証」を導入するインターネット・サービスが増えてきましたので、この機会に「2段階認証」を活用したらよいですね。ただし、導入時は少々面倒なので、事前に手順をよく確認することが大事です。



■ パスワードを守り安全活用する13カ条


これから、ますます、インターネットのサービスを利用する機会が増えます。パスワードを守り安全に活用することは、自分の貴重な情報やお金を守ることにつながります。特に、(1)~(5)は重要な内容ですので、注意下さい。なお、(1)、(2)の詳しい内容は下記を参照下さい。

 単純なパスワードを使うと、数秒で見破られ危険な目に!
 http://lifesecurityup.blogspot.com/2015/07/blog-post_20.html



(1) 見破られにくいパスワードを使う

   英字の小文字・大文字、数字を混合させ、8桁以上のパスワードを使う。

(2) パスワードは人目に触れないよう十分注意して管理する

   ①紙のメモ(IDとパスワードは別々の紙に分けて管理する
   ②電子ファイル(パスワード付き)で保管する
   ③パスワード管理ソフトを利用する

(3) 同じパスワードを複数のサービスで使わない(パスワードリスト攻撃対策)

   他のサービスで盗まれたパスワードを使って悪用される危険性が高まります。

(4) パスワードを定期的に変更する

   知らないうちにパスワードがウイルスなどで流失し、悪用されている場合があります。

(5) セキュリティ対策ソフトを使用し、ウイルスパターンを定期的に更新する(ウイルス対策)
   ウイルスなどの不正ソフトやフィッシング詐欺で、パスワードが知らないうちに
   流出するのを防ぎます。

(6) パスワードを強化する2段階認証を活用する

   2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの
   入力が必要になり、安全になります。

(7) 不特定多数の人が利用する所(インターネットカフェなど)ではパスワードを入力しない

   パソコンにパスワードが残ると悪用され危険だし、このようなパソコンにはウイルスが
   潜んでいる可能性があります。

(8) パスワードや機密情報を電話などで聞いてきたときは危険と考え無視する。(ソーシャルエンジニアリング対策)

   通常、このようなことを電話などで確認しません。無視しましょう!

   ソーシャルエンジニアリングとは、電話、盗み見、盗み聞き、話術などの手段で、
   人為的なミスにつけ込み、パスワードなどの機密情報を盗む行為です。

(9) 個人情報を扱うサイトは”https://”と httpに”s”が付いていることを確認する。

   銀行サイトや、アマゾンなどの個人情報を扱うオンラインショッピングでは、必ず、
   ”URL”は、 ”https://”と httpに”s”が付いていることを確認してください。

(10) 公衆無線LANで個人情報を使う場合もサイトは”https://”と httpに”s”が付いていることを確認する

   公衆無線LANなど安全性が不明な場所でインターネットで個人情報を使う場合も、
   URLが ”https://”となっていることを確認してください。

(11) パスワードや口座情報などを要求するメールは無視する(フィッシング詐欺対策)

   銀行などの企業は、顧客のパスワードや口座情報をメールで尋ねることはありません。
   このようなメールは無視してください。

(12)アカウント名・パスワード等の個人情報を要求するメールは無視する(フィッシング詐欺対策)

     システム変更でパスワード変更が必要と、不正なサイトに誘導してパスワードを盗む詐欺が
     あります。個人情報を要求するメールは無視して、メールのURLを決してクリックしない。

(13)口座やクレジットカードの明細を定期的にチェックする。

   どんなに注意しても、不正に利用されている場合があります。クレジット・カードなどの明細は、
   おかしい金額が書かれていないかチェックして、個人情報が盗まれたり、クレジットカード詐欺
   にあったりしていないか監視してください(不正な請求がないか確認)。



■ 不正アクセス対策に、2段階認証を活用しよう!


別のサービスやシステムから盗んだID・パスワードを用いて不正アクセスする、パスワードリスト攻撃が増えています。

オンラインストレージサービスの中には、自分の大切なデータがたくさんあり、不正アクセスされ悪用されると、とても危険です。


 ①「同じID、パスワードを複数のサービスで使わない」という対策以外に、
 ②「不正アクセスを防ぐ”2段階認証”」を活用することも

大事になってきました。

2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。

次のブログに、Google、Dropbox、Microsoftの”2段階認証”の方法をまとめていますので、参考にして下さい。

 Googleの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/09/500google2.html

 Dropboxの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/10/dropboxid.html

 Microsoftの”2段階認証”について
 http://lifesecurityup.blogspot.jp/2015/08/microsoft2.html
 



■ パスワードを悪用する方法とは?



■手当たり次第にパスワードを変化させて見破る「パスワード総当たり攻撃」

これは、パスワードを考えられるすべてのパターンをリストアップし片っ端から試し、パスワードを解読しようする試みのことです。

使える文字の種類や長さが増えると、組み合わせの数は増大し、見破られる可能性が低くなります。パスワードを見破られないようにするためには、パスワードを複雑にする必要があります。


■不正に入手したパスワードを使う「パスワードリスト攻撃」

最近、よくあるインターネット攻撃に「パスワードリスト攻撃」があります。これは、何らかの手段により、インターネットのサービスやシステムから盗んだID・パスワードを用いて、他のサービスのログインを試みる攻撃手法です。

例えば、いつも使っているサービスAのパスワードを、他のサービスBでも使っていた場合、もし、サービスBのシステムからパスワードが盗まれた場合、サービスBばかりでなく、いつも使っていたサービスAも不正利用されます。

このように、複雑なパスワードであっても、同じパスワードを複数のサービスで使っていると、「パスワードリスト攻撃」で不正に利用される危険性が高まります。

サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正アクセスが可能になります。単純なことですが、意外に忘れがちな落とし穴です。

  サイトA・・・ログイン ID=abc パスワード=xyz12345

  サイトB・・・ログイン ID=abc パスワード=xyz12345
    *サイトAとID・パスワードが同じ

  サイトC・・・ログイン ID=abc パスワード=xyz12345
    *サイトAとID・パスワードが同じ


■ウイルスやフィッシング詐欺による不正アクセス

他人に推測されにくいパスワードでも、ウイルスに感染することでパスワードが漏えいします、ウイルス対策、スパイウェア対策をしっかり行うことが必要です。

インターネットバンキングの不正送金の多くでは、ウイルスが悪用されています。

犯人は、インターネットバンキングユーザーのパソコンに、何らかの方法でウイルスを感染させます。

ウイルスは、実際のログイン画面に見せかけた画面を表示し、ユーザーにパスワードなどを入力させて、犯人に送信し、犯人はそのパスワードを使って正規ユーザーになりすまし、第三者の口座に送金します。

また、フィッシング詐欺も多発しており、犯人は、金融機関をかたる偽メールを送信し、ネットバンキングのWebサイトに見せかけた偽サイト(フィッシングサイト)にユーザーを誘導。偽のログイン画面にパスワードなどを入力させて盗みます。


■ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、電話、盗み見、盗み聞き、話術などの手段で、人為的なミスにつけ込み、パスワードなどの機密情報を盗む行為です。代表的な例は実は、この手法でパスワードを盗まれる場合も多いので、注意が必要です。

代表的な例:

(1) パスワードを入力するところを背後から盗み見する
(2) システム管理者になりすまして、パスワードや個人情報などを聞き出す
(3) 同僚や上司、あるいは同級生や警察関係者などになりすまして、家族から個人情報などを聞き出す
(4) 宅配業者などになりすまして、正確な住所や名前などを聞き出す
(5) ごみをあさって、個人情報や機密情報などを入手する

ソーシャルエンジニアリングの犠牲者にならないためには、誰かが「個人情報が必要だ」と、言ってきたら、まずはその人の身元を確認することです。

また、もともと、パスワードや機密情報を電話やメールで聞いてきたりしません。もし、クレジットカード会社から「あなたのカードが不正利用されていませんか?」という電話がかかってきたら、「わかりました」と言って一度電話を切り、こちらからかけ直します。

その時は、電話をかけてきた相手が言った番号ではなく、クレジットカード会社の番号を調べて、そこへ電話をします。