オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >
RSS
新倉茂彦の情報セキュリティAtoZ

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

パスワードの重要性を知っているならば、恥ずかしいことになる前にすべきこと

»

パスワードのネタを多く書いていますが、よく聞かれる事があります。これ本当に重要なんですか?とか、セキュリティってパスワードだけなんですか?と。。。これ直接聞かれるからまだ答えようがありますし、簡単に重要性を説明すればほぼ理解いただけてる(はず)です。前回書いたセキュリティ的にどうよ?という事例を考える_会話編のパスワード編もどこかで書きますが、この認識はセキュリティ的に完全アウトです。でも感覚的に「こんな方々」結構多くいるのも現実です。

セキュリティはウィルス対策のみ、以上!みたいなことも以前は多く見受けました。しかし敵(攻撃側)の動き方も変わってきているのに、自身(防御側)は全然変わらない(変えない)のであれば、そりゃ漏れますよ。。。って構造は簡単です。

情報セキュリティはパスワード

情報セキュリティ=パスワードだけ!と言いたいところですが、定食セットでいうお箸(小鉢でもいい)のようなもので、それだけじゃどうにもならないのです。でも、頭で理解しているのに、行動が伴わないのは何故だろう?と、いつも疑問に感じてもいます。

基本パスワードは何かとセットで使います。PCやスマホで使うサービスならばIDとセットで使いますし、PCやスマホの本体であれば指紋認証など本体とセットで使います。銀行のATMもカードとセットで使うなどなど。

攻撃事例からみるパスワード

上記のセット以外で、登録時の確認などで必須なメールアドレスで考えてみます。先日あった巧妙化するECサイトへの不正アクセス。セシールの被害は「二重登録防止機能」の悪用が原因では、

1.同じメアドで登録出来ないようにする「二重登録防止機能」を使い、既に登録済み(使用済み)のメアドかどうかを新規登録画面で確認

2.ここで登録出来るメアドは不正ログインの対象から外した(登録出来ないメアドは既にアカウントを持っているから)

3.このメアド(ここではIDとしても使用)を使い、パスワードの組合せでアタックされたようです。

 (最近はメアド=IDとして使われるケースは多いです。皆さんもちょっと思い出せば多く使っているはず)

ここで重要なことは、別なサイトから漏洩したIDとパスワードのセットが使われたこと。メアドをキーに重複したデータをマージすれば簡単なこと。結果、201のIP(接続元)から1938件の不正アクセスが試され、490件のログインに成功したようです。事前の下準備があったから490件にもなった。

使い回しのセットだから出来ること

メアド(ID)は先に書いた通り便利ですが、パスワードとの組合せまでも一緒にしては。。。こんな攻撃で突破されます。メアド自体のパスワードも同じままなのではないか?と考えると、ゾッとします。通販の購入履歴だけじゃなく、普段使いのメアドならメールの中身が全部リアルタイム丸見えですよ。

海外セレブのクラウド上から漏洩した写真なども何らかの組合せを突破されたこと。または自身のスマホで撮った写真のバックアップがクラウド上にあれば、スマホが水没なんかでぶっ壊れてもどうにかなります。壊れたスマホの金銭的被害も大きいけど、中身のデータはそれに変えられないものもあります。10万でiPhoneは新品になりますが、中身のデータは戻りません。そんな大切なデータや情報も簡単突破可能な状態にして置けるんでしょうか?

他にも、通販サイトなどの購入履歴、いろいろ便利なWebサービス... ちょっと考えてみれば、それプライバシー!みたいなものは多くあるはずです。何が漏れたら「恥ずかしいだろうか?」を基準に考えてみれば、その対策場所も見えやすいと思います。

それでも、使い回しセットを使い続けますか?

対策の方法は?

1.まず、秘密の質問(リマインダー)を見直しましょう。これも安易に使われていることが多いので、セット漏れすると先のアタックよりもヤバイです。そもそも、パスワードを忘れた時のセットなのに、身近な人なら誰でも知ってそうな事だったり、SNSでつぶやいていたり、そのヒントだったりと、今回のアタックよりもダイレクトでインパクトあります。

2.忘れそうだから、パスワードも簡単に...とか、簡単な数字やアルファベット足す...など、誰でも考えそうなことは、敵も想定しています。漏れパスワードのリスト(例えばabcだったら)abc1とかabcaのような組合せでアタックしてきますので、キッチリ別けて作りましょう。

何も難しい事は何もありません。ちょっと面倒なだけです。

パスワード変えましょう! ルールは英数記号で大小文字をまぜて10文字以上みたいな理想的な話は多いです。変えよう!というのであれば、そこまでの責任を持ってもらいたいものです。

なので、詳しい作り方のヒントは、過去ブログを参考にして下さい。パスワードの理想論を言われても、実務では役に立たないから、作り方を知るべし!パスワードの定期変更は危険!という話をそのまま鵜呑みしていいのか?

また、自分のアドレスは大丈夫? Firefox、流出被害をチェックできる新ツール提供Password Check | Kaspersky Lab - パスワードは賢く選びたいもの。どんなパスワードなら強度が十分か、このWebサイトで試してみましょうなど、怪しくないサイトも利用して自身で確認することことも良いです。一応、本物のパスワードは入力しない方がいいと思います。

たかが通販サイトで使うログイン情報の組合せだろ?と考えないほうがいいですよ。経験上こんな使い方してると他にも影響するような問題爆弾を抱えていることが多いです。この機会にすぐ見直した方がよい、そんなきっかけにして下さい。

新倉 茂彦 2018/06/27 14:04:29 Comment(0)