不正ログイン被害が相次いでいて、SNS「mixi」では16日までに、26万3596アカウントが不正ログインを受けたそうです。
mixiで26万アカウントに不正ログイン リスト型攻撃、試行430万回 - ITmedia ニュース
http://www.itmedia.co.jp/news/articles/1406/17/news088.html
なお、今回の事件、「mixi」からの情報流出ではなく、他社サービスから流出したID、パスワードを流用した「リスト型アカウントハッキング」だったとみられています。
IDは通常、メールアドレスなので同じになりがちですが、パスワードまで同じにして、パスワードを使い回ししていると、不正に使われる危険性が増すので、要注意です。
「リスト型アカウントハッキング攻撃(リスト型攻撃)」とは、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いて、様々なサイトにログインを試みる攻撃です。
例えば、サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正ログインするというものです。
サイトA・・・ログイン ID=abc パスワード=xyz12345
サイトB・・・ログイン ID=abc パスワード=xyz12345 *サイトAとID・パスワードが同じ
サイトC・・・ログイン ID=abc パスワード=xyz12345 *サイトAとID・パスワードが同じ
リスト型攻撃による不正ログインは今年に入って急増しており、4月以降だけでも「mixi」「楽天ダウンロード」「ソニーポイント」「My Softbank」などが被害にあっています。
「niconico」にリスト型攻撃 不正ログイン22万件 17万円分のポイント不正使用
- ITmedia ニュース
http://www.itmedia.co.jp/news/articles/1406/13/news064.html
なお、不正アクセスにはリスト型攻撃以外に、「総当たり攻撃 (brute force attack ブルートフォースアタック)」があります。
これは、パスワードを考えられるすべてのパターンをリストアップし片っ端から試し、パスワードを解読しようする試みのことです。使える文字の種類や長さが増えると、組み合わせの数は増大し、見破られる可能性が低くなります。パスワードを見破られないようにするためには、パスワードを複雑にする必要があります。
■
■ 不正アクセスから身を守る方法
■
対策1: ID・パスワードは使い回さない!!
対策2: 単純なパスワードは危険大!!
対策3: パスワードを定期的に変更!!
対策4: 利用しないサービスは中止する!!
対策1: ID・パスワードは使い回さない!!
「リスト型アカウントハッキング」は、同一のID・パスワードで複数のサービスにアタックするため、覚えるのが大変とID・パスワードを一つに決めて、それを複数のサイトで利用したら、万が一、漏れた場合、登録している全サービスで被害を受けかねません。
ID・パスワードなどが流出しないよう十分に注意することは大前提ですが、もし流出してしまった場合でも被害を最小限に食い止めるために、まずは利用サービスごとにID・パスワードを変えるようにすることが大事です。
対策2: 単純なパスワードは危険大!!
パスワードが単純なものだと、悪意のある第三者の解析・試行によって、すぐに見破られてしまいます。
IPAによれば、パスワード解読時間(見破られる時間)を調べたところ、 「英字(大文字・小文字の区別無)」の場合、”4桁で約3秒”、”6桁で約37分”だったそうです。
今一度、パスワードを点検しましょう! IPA(情報処理推進機構)
http://www.ipa.go.jp/security/txt/2008/10outline.html#5
パスワードは、「英字の小文字・大文字、数字、記号を混合させ、8桁以上」のパスワードにしましょう。
対策3: パスワードを定期的に変更!!
同じパスワードを使い続けると、パスワードが盗まれて悪用される危険性が高まります。パスワードは、定期的に(例えば月毎)変更するようにしましょう。
対策4: 利用しないサービスは中止する!!
様々なインターネットサービスに登録したものの、使わなくなったサービスをそのままにしていませんか? 利用しなくなったサービスをそのままにしておくと、ID・パスワードが盗まれ悪用される危険性が増すので、登録しているサービスを定期的に確認し、利用しないサービスは中止しましょう。
■
■ 簡単なパスワードは危険
■
”桁数の短いパスワードは簡単に見破られる、英字4桁のパスワードは約3秒”
情報処理推進機構(略称 IPA)によれば、パスワード解析ツールを使用して解読時間を調べたところ、以下のようになったそうです。
今一度、パスワードを点検しましょう! IPA
http://www.ipa.go.jp/security/txt/2008/10outline.html#5
(1) ”英字(大文字・小文字の区別無)”のパスワード解読時間(見破られる時間)
4桁のパスワード・・・約3秒、 6桁のパスワード・・・約37分
8桁のパスワード・・・約17日、 10桁のパスワード・・・約32年
(2) ”英字(大文字・小文字の区別有)に数字を加えた”のパスワード解読時間
4桁のパスワード・・・約2分、 6桁のパスワード・・・約5日
8桁のパスワード・・・約50年 10桁のパスワード・・・約20万年
このことから、例えば、簡単にいうと以下のようになります。
”saku” というパスワード → 約3秒で見破られる
”hanasaku”というパスワード → 約17日で見破られる
”Saku0904”というパスワード → 約50年で見破られる
4桁のような短い桁数のパスワードは簡単に見破られ、できるだけ長いパスワードのほうが良いことが分かります。また、大文字・小文字を混合させ、更に数字を付け加えるとよいことになります。
”辞書に載っている言葉をパスワードに使うのは危険”
なお、パスワードクラック (辞書引き攻撃)という手法があり、辞書に載っている言葉をパスワードに使うと、英語の辞書や日本語のローマ字辞書、人名辞書の中からパスワードを探し出すまで、大抵1分以内に見破るそうです。
そのため、辞書に載っている言葉など、一般的に知られている言葉をパスワードに使うのは、非常に危険です。