オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

パスワードの不正利用は「攻撃」「感染」「詐欺」「心理」が原因

»

ちょっとだけ気にすることで、多くのものが守られるものです。仕方ない・・・場合もありますが、ほとんどは何か出来ることがあるのです。

「 ID とパスワードを適切に管理しましょう~ サイフと同じく大切に! ~IPA情報処理推進機構

オンラインサービスで利用する ID とパスワードは、それを悪用しようとしている者に常に狙われていることを意識し、適切に管理しましょう。

(1) 不正利用された原因

 報道事例や IPA への相談事例で確認されている、オンラインサービスを不正利用されたケースにおいて、その原因として推測されるものは次のとおりです。

  • 単純なパスワードを設定していたため、悪意ある者に推測されたり、総当り攻撃により破られた。
  • ウイルス感染により、ID とパスワードを盗まれた。
  • フィッシング詐欺(※1)に引っ掛かり、ID とパスワードを盗まれた。
  • ソーシャルエンジニアリング(※2)により、ID とパスワードを盗まれた。

図1-1:ID とパスワードを盗まれるイメージ図
図1-1:ID とパスワードを盗まれるイメージ図

 このように、様々な原因が考えられますが、多くは自分自身が注意することで防ぐことができます。以降の項目を確認し、ID とパスワードを適切に管理してください。

※1フィッシング(phishing):巧妙な文面のメールなどを用い、実在する企業(金融機関、信販会社、ネットオークション等)のWebサイトを装った偽のサイトにユーザを誘導し、情報(パスワードなど)を盗みとる不正行為。
※2ソーシャルエンジニアリング(social engineering):ネットワーク技術やコンピュータ技術を用いずに、人間心理や社会の盲点を突いて、情報(パスワードなど)を入手する方法。

いろいろな原因がありますが、IPAが分類した4つから書いてみます。

「攻撃」

総当たり攻撃の場合、安易なパスワードだと突破されてしまいます。

2006年の記事:安易なパスワードのトップ10発表

  1. 123
  2. password
  3. liverpool(イングランドの人気サッカーチーム)
  4. letmein(「入れてくれ」――現代版「開けゴマ」)
  5. 123456
  6. qwerty(キーボード左上のキー配列)
  7. charlie(英国でよくある人名)
  8. monkey(理由不明)
  9. arsenal(イングランドの人気サッカーチーム)
  10. thomas(もう1つよくある人名)

最近の記事:最も安易なパスワードは? 流出情報の分析結果を発表

  1. 「123456」
  2. 「12345」
  3. 「123456789」
  4. 「Password」
  5. 「iloveyou」
  6. 「princess」
  7. 「rockyou」
  8. 「1234567」
  9. 「12345678」
  10. 「abc123」

ほとんど変わってないように見えます(笑) IDとパスワードが同じものや、同じに近いもの(IDに1とか付けたパスワード)など・・・そんなもの誰が使っているんだぁ?と、思われるでしょうが、あります。

さすがにネットのサービスだと、IDとパスワードを入れない限り使えないので、とりあえず入れているって程度なものが多くあります。

PCのログインにパスワードすら付けてないケースもありますし・・・これらのパスワードは、家の玄関鍵と同じです。玄関にキーボードがあったら、そんな安易なものを使用しますか?ってことです。

「感染」

ウィルスに感染して洩れるケースだと、ウィルス対策ソフトをしっかりと利用し、常に最新状態に保っておく!これしか方法はありません。最近もページを見ただけで感染するものが猛威を振るっています。

これら対策がされていないのは問題外ですが、対策がされているのに、守られていないことが多くあります。手動で止めているなど。。。確かに常駐することで動作にもたつきは出てきますが、安全とトレードオフです。

日常においても、絶対ということはないのですが、ここで絶対に間違わないことが1つあります。ワクチン(更新ファイル)より先にウィルスはない。ことです。それでも、これしか方法はありません。

「詐欺」

フィッシングなど、ニセのサイトに誘導されてしまうケースです。アマゾンだったり、クレジットカード会社だったり、決済の絡むものに似せて作られたサイトで、入力してしまうケースです。最近だとアマゾンから購入確認のメールが届くフィッシング詐欺がありました。

唯一確認できるのは、URLのアドレスを確認するなどになります。フィッシングサイトを見分けるテストがあります。全問正解しましたが、なかなか難しかったです。これは是非試してください。どんな場所を確認すればいいかが、よくわかる優れものです。

常に大丈夫か?と見ることが必要です。(健康のため疑いすぎに注意しましょう!(爆)

「心理」

フィッシングやウィルスなどと複合される場合もあります。すべての条件が整った時に、何ら疑いのない状況でことは進んでいきます。ソーシャルエンジニアリングと言われます。

2009年、私の気になったセキュリティ3大ニュース

しつこい電話の撃退法には、セキュリティの基本も含まれていた(笑)

Macにウィルス対策が必要になっても、人をダマす古典的方法は変わっていない

この騙す手法は、もっとも古典的なものです。オレオレ詐欺と変わりません。が、ちょっとでもインターネットやPCが使われると、途端に難しい・・・と、なってしまうようですが、単に直接電話があるか、メールで届くかの違いだけです。

いきなり、パスワードは何か?と聞かれれば、警戒するものですが、会話の中やメールなどでパスワードを聞かれる場面に遭遇したら、一呼吸してから「これを教えてもいい相手なのだろうか?」と疑問を持って下さい。「全部仕組まれた状態で疑う余地がない」こともありますが、それを狙ってくるのが相手の手口です。一方的なオレオレも同じですよね。

それでもわからなければ、誰かに相談するとか、電話ならかけ直すなど、1つ置いて行動して下さい。

パスワード関連:

パスワードは英文字記号で8文字以上!って、だ・か・ら・・・どうすればいいの?

Hotmail の流出アカウントは安易なパスワードが原因?思い出す質問も要チェック!

Comment(0)