2014年6月18日水曜日

複数のサイトに同じID・パスワードを使うと危険!! 不正ログインの事件が多発

不正ログイン被害が相次いでいて、SNS「mixi」では16日までに、26万3596アカウントが不正ログインを受けたそうです。

 mixiで26万アカウントに不正ログイン リスト型攻撃、試行430万回 - ITmedia ニュース
 http://www.itmedia.co.jp/news/articles/1406/17/news088.html

なお、今回の事件、「mixi」からの情報流出ではなく、他社サービスから流出したID、パスワードを流用した「リスト型アカウントハッキング」だったとみられています。




IDは通常、メールアドレスなので同じになりがちですが、パスワードまで同じにして、パスワードを使い回ししていると、不正に使われる危険性が増すので、要注意です。


「リスト型アカウントハッキング攻撃(リスト型攻撃)」とは、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いて、様々なサイトにログインを試みる攻撃です。

例えば、サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正ログインするというものです。

  サイトA・・・ログイン ID=abc パスワード=xyz12345
  サイトB・・・ログイン ID=abc パスワード=xyz12345  *サイトAとID・パスワードが同じ
  サイトC・・・ログイン ID=abc パスワード=xyz12345  *サイトAとID・パスワードが同じ

リスト型攻撃による不正ログインは今年に入って急増しており、4月以降だけでも「mixi」「楽天ダウンロード」「ソニーポイント」「My Softbank」などが被害にあっています。

 「niconico」にリスト型攻撃 不正ログイン22万件 17万円分のポイント不正使用
    - ITmedia ニュース
 http://www.itmedia.co.jp/news/articles/1406/13/news064.html

なお、不正アクセスにはリスト型攻撃以外に、「総当たり攻撃 (brute force attack ブルートフォースアタック)」があります。

これは、パスワードを考えられるすべてのパターンをリストアップし片っ端から試し、パスワードを解読しようする試みのことです。使える文字の種類や長さが増えると、組み合わせの数は増大し、見破られる可能性が低くなります。パスワードを見破られないようにするためには、パスワードを複雑にする必要があります。



■ 不正アクセスから身を守る方法


   対策1: ID・パスワードは使い回さない!!

   対策2: 単純なパスワードは危険大!!
   
   対策3: パスワードを定期的に変更!!


   対策4: 利用しないサービスは中止する!!
   
   
対策1: ID・パスワードは使い回さない!!

「リスト型アカウントハッキング」は、同一のID・パスワードで複数のサービスにアタックするため、覚えるのが大変とID・パスワードを一つに決めて、それを複数のサイトで利用したら、万が一、漏れた場合、登録している全サービスで被害を受けかねません。

ID・パスワードなどが流出しないよう十分に注意することは大前提ですが、もし流出してしまった場合でも被害を最小限に食い止めるために、まずは利用サービスごとにID・パスワードを変えるようにすることが大事です。


対策2: 単純なパスワードは危険大!!

パスワードが単純なものだと、悪意のある第三者の解析・試行によって、すぐに見破られてしまいます。

IPAによれば、パスワード解読時間(見破られる時間)を調べたところ、 「英字(大文字・小文字の区別無)」の場合、”4桁で約3秒”、”6桁で約37分”だったそうです。

 今一度、パスワードを点検しましょう! IPA(情報処理推進機構)
 http://www.ipa.go.jp/security/txt/2008/10outline.html#5

パスワードは、「英字の小文字・大文字、数字、記号を混合させ、8桁以上」のパスワードにしましょう。



対策3: パスワードを定期的に変更!!

同じパスワードを使い続けると、パスワードが盗まれて悪用される危険性が高まります。パスワードは、定期的に(例えば月毎)変更するようにしましょう。


対策4: 利用しないサービスは中止する!!

様々なインターネットサービスに登録したものの、使わなくなったサービスをそのままにしていませんか? 利用しなくなったサービスをそのままにしておくと、ID・パスワードが盗まれ悪用される危険性が増すので、登録しているサービスを定期的に確認し、利用しないサービスは中止しましょう。




■ 簡単なパスワードは危険


”桁数の短いパスワードは簡単に見破られる、英字4桁のパスワードは約3秒”

情報処理推進機構(略称 IPA)によれば、パスワード解析ツールを使用して解読時間を調べたところ、以下のようになったそうです。

 今一度、パスワードを点検しましょう! IPA
 http://www.ipa.go.jp/security/txt/2008/10outline.html#5



  (1) ”英字(大文字・小文字の区別無)”のパスワード解読時間(見破られる時間)
     4桁のパスワード・・・約3秒、  6桁のパスワード・・・約37分
     8桁のパスワード・・・約17日、 10桁のパスワード・・・約32年

  (2) ”英字(大文字・小文字の区別有)に数字を加えた”のパスワード解読時間

     4桁のパスワード・・・約2分、  6桁のパスワード・・・約5日
     8桁のパスワード・・・約50年  10桁のパスワード・・・約20万年

このことから、例えば、簡単にいうと以下のようになります。

     ”saku”  というパスワード → 約3秒で見破られる
     ”hanasaku”というパスワード → 約17日で見破られる
     ”Saku0904”というパスワード → 約50年で見破られる

4桁のような短い桁数のパスワードは簡単に見破られ、できるだけ長いパスワードのほうが良いことが分かります。また、大文字・小文字を混合させ、更に数字を付け加えるとよいことになります。

”辞書に載っている言葉をパスワードに使うのは危険”

なお、パスワードクラック (辞書引き攻撃)という手法があり、辞書に載っている言葉をパスワードに使うと、英語の辞書や日本語のローマ字辞書、人名辞書の中からパスワードを探し出すまで、大抵1分以内に見破るそうです。

そのため、辞書に載っている言葉など、一般的に知られている言葉をパスワードに使うのは、非常に危険です。