「パスワードを複雑にしているから安全」と考えていませんか? 実は、私はそう考えていました。しかし、同じパスワードを複数サービスで使っていると、いくら複雑にしてもダメです。
最近、「パスワードリスト攻撃」が増大中で、何らかの手段により盗んだパスワードを用いて、他のサービスも不正利用されます。この場合、いくらパスワードを複雑にしていても役に立ちません。
同じパスワードを複数サービスで使っていると、この「パスワードリスト攻撃」に会う危険性が増します。
また、パソコンがウイルスに感染することでパスワードが漏えいしたり、メールで銀行などを名乗りパスワードを不正に入手したり、電話でクレジットカード会社とだましパスワードを入手したりと、パスワードを盗む攻撃は様々あります。
今回は、パスワードを守り、勝手にサービスを利用される危険を防ぐ方法を考えてみたいと思います。また、パスワードを悪用する方法についても紹介します。
なお、ログインの際に、パスワードに加えてセキュリティコードの入力が必要な「2段階認証」というのがあります。これを利用することで、パスワードを強化し、「パスワードリスト攻撃」も防ぐことができます。これについても簡単に紹介します。
最近では、この「2段階認証」を導入するインターネット・サービスが増えてきましたので、この機会に「2段階認証」を活用したらよいですね。ただし、導入時は少々面倒なので、事前に手順をよく確認することが大事です。
■
■ パスワードを守り安全活用する13カ条
■
これから、ますます、インターネットのサービスを利用する機会が増えます。パスワードを守り安全に活用することは、自分の貴重な情報やお金を守ることにつながります。特に、(1)~(5)は重要な内容ですので、注意下さい。なお、(1)、(2)の詳しい内容は下記を参照下さい。
単純なパスワードを使うと、数秒で見破られ危険な目に!
http://lifesecurityup.blogspot.com/2015/07/blog-post_20.html
(1) 見破られにくいパスワードを使う
英字の小文字・大文字、数字を混合させ、8桁以上のパスワードを使う。
(2) パスワードは人目に触れないよう十分注意して管理する
①紙のメモ(IDとパスワードは別々の紙に分けて管理する
②電子ファイル(パスワード付き)で保管する
③パスワード管理ソフトを利用する
(3) 同じパスワードを複数のサービスで使わない(パスワードリスト攻撃対策)
他のサービスで盗まれたパスワードを使って悪用される危険性が高まります。
(4) パスワードを定期的に変更する
知らないうちにパスワードがウイルスなどで流失し、悪用されている場合があります。
(5) セキュリティ対策ソフトを使用し、ウイルスパターンを定期的に更新する(ウイルス対策)
ウイルスなどの不正ソフトやフィッシング詐欺で、パスワードが知らないうちに
流出するのを防ぎます。
(6) パスワードを強化する2段階認証を活用する
2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの
入力が必要になり、安全になります。
(7) 不特定多数の人が利用する所(インターネットカフェなど)ではパスワードを入力しない
パソコンにパスワードが残ると悪用され危険だし、このようなパソコンにはウイルスが
潜んでいる可能性があります。
(8) パスワードや機密情報を電話などで聞いてきたときは危険と考え無視する。(ソーシャルエンジニアリング対策)
通常、このようなことを電話などで確認しません。無視しましょう!
ソーシャルエンジニアリングとは、電話、盗み見、盗み聞き、話術などの手段で、
人為的なミスにつけ込み、パスワードなどの機密情報を盗む行為です。
(9) 個人情報を扱うサイトは”https://”と httpに”s”が付いていることを確認する。
銀行サイトや、アマゾンなどの個人情報を扱うオンラインショッピングでは、必ず、
”URL”は、 ”https://”と httpに”s”が付いていることを確認してください。
(10) 公衆無線LANで個人情報を使う場合もサイトは”https://”と httpに”s”が付いていることを確認する
公衆無線LANなど安全性が不明な場所でインターネットで個人情報を使う場合も、
URLが ”https://”となっていることを確認してください。
(11) パスワードや口座情報などを要求するメールは無視する(フィッシング詐欺対策)
銀行などの企業は、顧客のパスワードや口座情報をメールで尋ねることはありません。
このようなメールは無視してください。
(12)アカウント名・パスワード等の個人情報を要求するメールは無視する(フィッシング詐欺対策)
システム変更でパスワード変更が必要と、不正なサイトに誘導してパスワードを盗む詐欺が
あります。個人情報を要求するメールは無視して、メールのURLを決してクリックしない。
(13)口座やクレジットカードの明細を定期的にチェックする。
どんなに注意しても、不正に利用されている場合があります。クレジット・カードなどの明細は、
おかしい金額が書かれていないかチェックして、個人情報が盗まれたり、クレジットカード詐欺
にあったりしていないか監視してください(不正な請求がないか確認)。
■
■ 不正アクセス対策に、2段階認証を活用しよう!
■
別のサービスやシステムから盗んだID・パスワードを用いて不正アクセスする、パスワードリスト攻撃が増えています。
オンラインストレージサービスの中には、自分の大切なデータがたくさんあり、不正アクセスされ悪用されると、とても危険です。
①「同じID、パスワードを複数のサービスで使わない」という対策以外に、
②「不正アクセスを防ぐ”2段階認証”」を活用することも
大事になってきました。
2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。
次のブログに、Google、Dropbox、Microsoftの”2段階認証”の方法をまとめていますので、参考にして下さい。
Googleの”2段階認証”について
http://lifesecurityup.blogspot.com/2014/09/500google2.html
Dropboxの”2段階認証”について
http://lifesecurityup.blogspot.com/2014/10/dropboxid.html
Microsoftの”2段階認証”について
http://lifesecurityup.blogspot.jp/2015/08/microsoft2.html
■
■ パスワードを悪用する方法とは?
■
■手当たり次第にパスワードを変化させて見破る「パスワード総当たり攻撃」
これは、パスワードを考えられるすべてのパターンをリストアップし片っ端から試し、パスワードを解読しようする試みのことです。
使える文字の種類や長さが増えると、組み合わせの数は増大し、見破られる可能性が低くなります。パスワードを見破られないようにするためには、パスワードを複雑にする必要があります。
■不正に入手したパスワードを使う「パスワードリスト攻撃」
最近、よくあるインターネット攻撃に「パスワードリスト攻撃」があります。これは、何らかの手段により、インターネットのサービスやシステムから盗んだID・パスワードを用いて、他のサービスのログインを試みる攻撃手法です。
例えば、いつも使っているサービスAのパスワードを、他のサービスBでも使っていた場合、もし、サービスBのシステムからパスワードが盗まれた場合、サービスBばかりでなく、いつも使っていたサービスAも不正利用されます。
このように、複雑なパスワードであっても、同じパスワードを複数のサービスで使っていると、「パスワードリスト攻撃」で不正に利用される危険性が高まります。
サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正アクセスが可能になります。単純なことですが、意外に忘れがちな落とし穴です。
サイトA・・・ログイン ID=abc パスワード=xyz12345
サイトB・・・ログイン ID=abc パスワード=xyz12345
*サイトAとID・パスワードが同じ
サイトC・・・ログイン ID=abc パスワード=xyz12345
*サイトAとID・パスワードが同じ
■ウイルスやフィッシング詐欺による不正アクセス
他人に推測されにくいパスワードでも、ウイルスに感染することでパスワードが漏えいします、ウイルス対策、スパイウェア対策をしっかり行うことが必要です。
インターネットバンキングの不正送金の多くでは、ウイルスが悪用されています。
犯人は、インターネットバンキングユーザーのパソコンに、何らかの方法でウイルスを感染させます。
ウイルスは、実際のログイン画面に見せかけた画面を表示し、ユーザーにパスワードなどを入力させて、犯人に送信し、犯人はそのパスワードを使って正規ユーザーになりすまし、第三者の口座に送金します。
また、フィッシング詐欺も多発しており、犯人は、金融機関をかたる偽メールを送信し、ネットバンキングのWebサイトに見せかけた偽サイト(フィッシングサイト)にユーザーを誘導。偽のログイン画面にパスワードなどを入力させて盗みます。
■ソーシャルエンジニアリングとは
ソーシャルエンジニアリングとは、電話、盗み見、盗み聞き、話術などの手段で、人為的なミスにつけ込み、パスワードなどの機密情報を盗む行為です。代表的な例は実は、この手法でパスワードを盗まれる場合も多いので、注意が必要です。
代表的な例:
(1) パスワードを入力するところを背後から盗み見する
(2) システム管理者になりすまして、パスワードや個人情報などを聞き出す
(3) 同僚や上司、あるいは同級生や警察関係者などになりすまして、家族から個人情報などを聞き出す
(4) 宅配業者などになりすまして、正確な住所や名前などを聞き出す
(5) ごみをあさって、個人情報や機密情報などを入手する
ソーシャルエンジニアリングの犠牲者にならないためには、誰かが「個人情報が必要だ」と、言ってきたら、まずはその人の身元を確認することです。
また、もともと、パスワードや機密情報を電話やメールで聞いてきたりしません。もし、クレジットカード会社から「あなたのカードが不正利用されていませんか?」という電話がかかってきたら、「わかりました」と言って一度電話を切り、こちらからかけ直します。
その時は、電話をかけてきた相手が言った番号ではなく、クレジットカード会社の番号を調べて、そこへ電話をします。
