オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

ANAの不正アクセスで「もう一度考えたい」パスワードのはなし(その1)

»

先日のJALに続き、ANAも不正アクセスにより、勝手にマイレージの交換等が行われていたようです。貯めたマイルがなくなってしまうことも問題ですが、交換できる(ログインしている)状態では、 搭乗記録はもちろんのこと、会員の住所含めた登録情報までも見たり、変更できたりと、本人と同じことが出来てしまいます。ログインした状態なので「当たり前」のことですが。。。

ANAマイレージクラブに不正ログイン マイルをiTunesコードに不正交換される被害

ANAマイレージクラブは、10ケタのマイレージ番号と、数字のみ4ケタのパスワードの組み合わせでログインでき、ログインすると氏名や住所、電話番号など登録情報の確認も可能だ。再発防止策として同社は、パスワードの強化を含む恒久的な対策を検討するとしている。

先日のJAL(「JALマイレージバンク」不正ログイン問題、数字のみパスワードの強化策を「検討中」)は、強化策を考えているようですし、、今回のANAも同じようになるでしょう。

ここ最近パスワード漏洩系の事件が多発しています。洩れた(フィッシングなどは漏らしてしまった)パスワードで、不正にアクセスされてしまった。。。文字で書けば「こうなります」が、カギを無くして、盗られて、入られたと考えれば、カギをかけることが必要な場所(書庫とか家ドアなどなど...)と変わりません。物理カギと文字パスワードの違いだけです。

南京錠とカギ、ログインとパスワード、ハンバーガーとポテト。。。必ずセットで使われます。カロリーが高いので、ポテトは食べないようにしています(笑) 南京錠とカギは、それを使う場所によって「その重要性」はかわります。例えばスーツケースに使う場合と、もっと厳重なところなどです。場所は変わっても、そのカギが使える南京錠は1個しかありません。

一方でログインとパスワードは、ログインする場所(PCの起動時、サイトの認証等)によって、パスワードが違うはず(セキュリティ上よろしくありませんが同じかも知れません)

今回のケースで考えると、サービス提供者利用者になります。不正にアクセスされた場合、どうにも回避できないのが、先のパスワード漏洩系です。ごっそり持って行かれているので、組合せはバレバレです。この場合サービス提供側に問題があります。

今回は漏洩系ではないようですが、パスワードを数字の4-6桁で使うのならば、もう少し考えた方がいい。しかし、数字パスワードの利点は、電話機などの数字だけ端末でも使える事です。どちらかと言えば、利用者に合わせた形だと思います。本当はフルキーボード入力のようなことをさせたいのでしょうが、利用者のセキュリティ意識が追いついていません。1234とかのパスを使っていても、こんな事件が起きれば大騒ぎになります。

サービス提供者は、セキュリティ意識の低い利用者であっても、パスワード管理は自己責任ということで、利用者を選びません。これ別なサービス、例えば仕事上取引先と共同で利用するネットサービスのパスワードならば、セキュリティ意識が低いのですみません。。。とはならないでしょう。利用者を選ぶこと(取引企業の選別)をしますよね。

利用者は、漏洩系の場合、サービス提供者を選ぶ(変える)ことくらいしかできません。漏洩系でない場合は、パスワードの選定も、管理も自己責任において行われます。忘れない数字パスワードが中々思いつかないので、つい安易なものに走りがちです。それらは「他の場面」でも利用していたりするので、バレる可能性が高くなります。

あなたのパスワード、バレてます

パスワードは、個人情報を守ってくれる砦でも何でもない。いまやどんな人のパスワードも簡単に手に入るようになり、パスワードの時代は終焉を迎えた。US版『WIRED』のシニア・ライターを務める筆者は、Twitterをはじめとする、ありとあらゆるアカウントをハックされ、子どもとの思い出の写真から仕事の記録、信頼から名誉まですべてを失った。わたしたちは、デジタルの世界で自分の身を守れるのか?(本誌『WIRED』VOL.8より転載)

昨年の夏の記事ですが、バレてるものと認識しなければなりません。

サービス提供者、利用者ともに考えなければなりません。どうもパスワードの話を何度しても、向上していかない場面を多く見ます。

よくブログにも書きますが、家ドアに数字キーがあって、4-6桁の数字さえ入れればドアが開くとすれば、利用者側も少しは考えると思うのですよ。その番号突破されれば、ドア開きますから・・・

パスワード関連の過去ブログ

いつになってもたいして変わらない「パスワード」の問題点

ヤフーのパスワードと秘密の質問流出を機会に「改めて自分のパスを見直す方法」

パスワードの問題が多くあるのに、なぜ変えないのですか?

パスワードを忘れてしまった時の「秘密の質問」を誰にもわからない答えにする方法

パスワードの理想論を言われても、実務では役に立たないから、作り方を知るべし!

5点と4本の線で作る「Androidの指パスワード」強化法

数字パスワード以外にも共通しますが、パスワードの具体的な作り方や、管理方法等の、実用的なことを伝えないままに、パスワードを強化!とか、無理な話です。強化するための方法を知らなければ、なにもはじまりません。

自分で管理することが出来る「唯一の砦」として、パスワードの見直しをして下さい。それしか出来ないのですから・・・

Comment(0)