2018年1月10日水曜日

個人情報流出は当たり前の時代に 某サービスから来た情報漏洩のお知らせ! 対策はあるの?

インターネットで最近、多発している個人情報流出、実は他人事と考えていましたが、最近、某サービスから「情報漏洩のお知らせ」がきました。

もう、個人情報流出は当たり前の時代になったことを痛感した事件です。今回は、個人情報流出が当たり前の時代に、どうすれば良いのか考えてみました。

最近、不正アクセスで利用される攻撃は「パスワードリスト攻撃」で、Webサイトから漏洩した情報を使って、別のWebサイトに不正ログインしようとする攻撃です。

どんなに複雑なパスワードでも、同じパスワードを使い回していると、情報流出したWebサイトの情報を使い、他のWebサイトが不正ログインされてしまうので注意が必要です。

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

今回、私の所にきた、情報漏洩(流出)が発生したサービスは、地方の「船の予約サービス」で、流出した可能性のある情報は以下でした。

 流出の可能性のある情報:
   1.氏名/住所/電話番号/生年月日/性別/メールアドレス
   2.インターネット予約でお使いの会員ID
   3.インターネット予約でお使いのパスワード

 連絡のあった対応策:
 「会員パスワードと同様のパスワードを他サービスでもご利用のお客さまは、
  他サービスのパスワードを変更していただきますようお願い致します。」


-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

個人情報流出が当たり前の時代、基本的な対応として、以下が考えられます。

①情報漏洩(流出)が発生したサービスと同じパスワードを使っていたら、すぐに変更する。

②パスワードを複雑にするのに加え、パスワードを使い回ししない。

③特に、クレジットカード情報などの重要な個人情報を扱うサービス、ネットシッピングやインターネットバンキングなどのパスワードは、そこだけのパスワードにして、他では使用しない。

④更に、パスワードに加えてセキュリティコードの入力が必要な「2段階認証」というのがありますが、これを利用することで、「パスワードリスト攻撃」も防ぐことができ、安全になります。


-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

なお、インターネットサービスを利用する際には、以下に気をつけたいです。

①クレジットカードの利用状況を定期的に確認する(最低限、毎月1回)。もし、不正な利用があれば、クレジット会社に連絡する。

②クレジットカードは安心できるサービスのみ活用する。できれば、2段階認証を使っているサービスのみにする。

③個人情報は最低限しか登録しない。携帯番号などの大事な情報は、可能であれば登録しない。

④連絡用のメールアドレスには、Webメールのエイリアス(別名)を活用する。*あとで詳しく説明します。

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

個々の対策の詳しい内容は以下を参照ください。

 Amazonの2段階認証でアカウントの不正利用を防ごう!
 https://lifesecurityup.blogspot.jp/2017/06/amazon2.html

 Yahoo! Japanの2段階認証(ワンタイムパスワード)で不正利用を防ごう!
 https://lifesecurityup.blogspot.jp/2017/05/yahoo-japanid.html

 Webメールで複数メールアドレス活用 エイリアス(別名)とは
 https://lifesecurityup.blogspot.jp/2016/02/web.html


■■□―――――――――――――――――――□■■

私の所にきた某サービスからの情報漏洩の実例 *一部紹介

「不正アクセスによるお客様情報漏洩の恐れに関するお知らせ」

■■□―――――――――――――――――――□■■

この度、弊社WEB予約サーバ内におきまして、外部からの不正アクセスがあった事が判明いたしました。
本件に関しまして、現時点で判明している不正アクセスの概要と対応について下記のとおりご報告いたします。
皆様にはご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。

【1】情報漏洩の恐れがあるお客様情報

   1.氏名/住所/電話番号/生年月日/性別/メールアドレス
   2.インターネット予約でお使いの会員ID
   3.インターネット予約でお使いのパスワード
   ※クレジットカード情報は含まれておりません。
   
   
【2】概略

現在のところお客様情報の不正利用等の二次被害は確認されておりませんが、念のためインターネット予約でお使いの会員パスワードと同様のパスワードを他サービスでもご利用のお客さまは、他サービスのパスワードを変更していただきますようお願い致します。


■■□―――――――――――――――――――□■■

最近、多発している「パスワードリスト攻撃」とは

■■□―――――――――――――――――――□■■

Webサイトから漏洩した情報を使って、別のWebサイトに不正ログインしようとする攻撃です。

どんなに複雑なパスワードを設定しても、パスワードを使い回していると、他のWebサイトが不正ログインされてしまいます。

パスワードリスト攻撃の例として、サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたパスワードを使い(IDを変化させながら)、他のサイトB、サイトCに不正アクセスを試みます。

  サイトA・・・ログイン ID=abc パスワード=xyz12345

  サイトB・・・ログイン ID=abc パスワード=xyz12345
    *サイトAとID・パスワードが同じ

  サイトC・・・ログイン ID=abc パスワード=xyz12345
    *サイトAとID・パスワードが同じ

なお、ログインの際に、パスワードに加えてセキュリティコードの入力が必要な「2段階認証」というのがありますが、これを利用することで、「パスワードリスト攻撃」も防ぐことができ、安全になります。

■■□――――――――――――――――――――――――――――□■■

メールアドレス流出の危険性対策にWebメールのエイリアス(別名)活用

■■□――――――――――――――――――――――――――――□■■

詳しくは下記を参照ください。

 Webメールで複数メールアドレス活用 エイリアス(別名)とは
 https://lifesecurityup.blogspot.jp/2016/02/web.html


Webメール、メインのメールアドレス以外に、メールエイリアス(別名)という複数のメールアドレスを持つことが可能で、これが、なかなか便利です。

エイリアスは別名を意味します。ひとつのアカウントで、複数のメールアドレスを持つことができる機能です。

便利なのは、MicrosoftのOutlook.comとYahoo!メールです。 *Yahoo!メールの場合はセーフティーアドレスと呼ばれています。

メールアドレスを家族用、友人用、ML用などに使い分けて活用したり、インターネット・サービスを使う場合、いつも使っているサービスと、チョット使ってみようというサービスで、メールアドレスを分けるなど、安全な使い方ができます。

■Outlook.comの場合(メールエイリアス)

作成できる新しいエイリアスは、1年間に10個まで、全体で最大10 個です。1つのエイリアスを削除すると、全体数からは差し引かれますが、年間の制限数からは差し引かれないので、1年間に10回削除すると利用できなくなります。

outlook.comの場合、メインのアドレスとは全く違うメールアドレスを、エイリアスに設定できるので、とても便利です。

詳しくは下記を参照下さい。
 http://windows.microsoft.com/ja-jp/windows/outlook/add-alias-account


■Yahoo!メールの場合(セーフティーアドレス)

作成できる新しいエイリアス(セーフティーアドレス)は、無料使用の場合、同時に最大10個、Yahoo! BB会員、セキュリティーパック購入者の場合は最大30個まで設定できます。なお、最大個数を超えなければ、追加や削除の回数は無制限です。

詳しくは下記を参照下さい。
 http://www.yahoo-help.jp/app/answers/detail/a_id/47930/p/622