2018/09123456789101112131415161718192021222324252627282930312018/11
【パスワード関連について】

ネット上でユーザー登録が必要なコンテンツを利用する時に
IDPASSWORDが必要になりますが、

フィッシングでIDとPASSを盗まれてハックやクラックを受けて
金銭的に被害を受ける方も多くなっている様なので、

今回はパスワード関連について小話を1つ。



【IDやPASSWORDを盗み取る手口】
まずはどうやってIDとPASSを盗み取るのかを説明します。

【フィッシング(phishing)】
銀行等の金融機関や有名ゲームソフトメーカーに扮して偽メ
ール
を送り、メール内に偽サイトに誘導してIDとPASSを入力
させる事によって盗みます。

偽サイトの対策が進んできた最近ではメール内の添付画像
等にウイルスを仕込み、正規サイトを標示した時に偽のポッ
プアップ
を標示させてIDとPASSを入力させる様になりました。

また、最近はアドウェア(広告ソフト)にウイルスを仕込んでく
る事もあるので注意が必要です。


【予防と対策】
大抵この手のメールは隣国系の者だったりするので、日本
語の文法
になっています。

だから、おかしいメールは基本的に開かない様にして下さい。

件名だけまともな事が偶にあるので引っかかってしまう事も
あると思いますが、基本的にメール文の中からURLを利用し
てサイトに入らない
様にすれば偽サイトは対策出来ます。


尚、メールを開いてしまってウイルスを食らってしまった場合
は、正規サイトに入った時点でIDやPASS等を求めるポップ
アップが標示されるので、

その時はアンチウイルスソフトで駆除してください。
(基本的にサイト自体にIDとPASSを入力するフォームを設置
する事はあってもポップアップ経由はありない)

後、【アドウェア(広告表示ソフト)インストーラーに注意】で説
明している様な広告に引っ掛らない様に。



【キーロガー(Keylogger)】
元々はプログラミング等で入力したキーを記録し、入力ミス
時の確認をする為に使用していたツールですが、

入力したキーを記録する事を悪用し、アドウェアフリーソフ
に同機能のウイルスを仕込み、

感染者が入力した文字列を文章データに保存して自動的に
攻撃者にメールで送る事で情報を盗みます。

以前はキーロガー単体のマルウェア(悪意のあるソフト)をネ
ットカフェ等の不特定多数が使うPCに仕込まれている事が
主でしたが、

最近ではソフトにウイルスとして仕込まれている事が多くなり
ました。(特にネットゲームユーザーを対象とした物が多発)


【予防と対策】
怪しいフリーソフトを使用しないしない事ですが、画像サイト
掲示板等にウイルスを張られている事があるので、セキュ
リティソフトで自衛を日頃から心がける必要があります。

また、ネットカフェ等ではIDやPASSが必要なコンテンツを利
用しない
事が理想ですが、どうしても使用する場合は、帰宅
後にIDやPASSを変更
したほうが良いでしょう。



【コンテンツ運営会社のサーバにハッキング】
上記二つはコンテンツを利用しているユーザーに対してのも
のですが、コンテンツを運営している企業のサーバハック
して情報を盗む事があります。


【予防】
情報管理は企業側の責任であり、ユーザー側から対策は無
理ですが、同じIDやPASS別コンテンツで使用しない様に
すれば被害は最小限に抑えられます。



(2014/11/09時点)
【現在おきているリスト型不正アクセスとは】
基本的にIDやPASSを盗まれた時に起きる被害は基本的に
盗まれたIDとPASSが必要なコンテンツだけですが、

最近はIDPASS使い回す人間が多い事に目を付け、他
のコンテンツも不正アクセスをされる事がある様です。

上記の不正行為によって取得したIDPASSセットにしたリ
スト
を作成し、

他社コンテンツ同じIDとPASSを使用しているアカウントが
ないかを探して
IDとPASSを実行して行く方式の不正アクセ
スです。


同じIDとPASSを利用している場合、ネット上の複数のコンテ
ンツ
不正アクセスされてしまい、

情報が1つ漏れただけで複数のコンテンツで被害が出るの
で騒ぎになっているわけです。


【被害を受けない、最小限にする為には】
PCのセキュリティをしっかりしておくのは勿論ですが、サー
バ管理者権限をハックされた場合はユーザーにはどうし様も
無い為、

基本的にIDPASS使い分ける事位しか被害を最小限に
抑える方法はありません。


一応携帯端末専用ハードで取得できるワンタイムパスワ
ード
(一度きりの使い捨て)の様な多重セキュリティを使用し
ているコンテンツを優先的に使用するという事も出来ますが、

使用したいコンテンツに付いている保証は無いので限界が
あります。

やはり多少面倒でもIDとPASSを分けたほうが良いでしょう。



【IDとPASSの考え方】
複数のIDとPASSを覚えるのは大変だと思われる方もいると
思いますが、意外と覚えやすい方法があります。

基本的にコンテンツの内容に関連した事柄IDにし、更にP
ASS
文章だてる事でコンテンツに紐付けして覚える事です。

例えば気象情報サイトに登録するとした場合、ID:Natu4koi
PASS:asita10ki2naareといった感じや、

ネットゲーム(FPS)に登録するとした場合、ID:kenTekihi3tu
PASS:cyan10kanrisi6という感じです。

コンテンツ思っている事でも良いし、内容に関係する事
も良いので、文章だてる事で覚え易くなります。



【IDとPASSの保存の仕方】
記憶しておくのが一番なのは確かですが、多くなってくると
難しいのでその様な時の保存方法です。

一番なのはにメモする事です。

ネットワークにつながっているPC内に入れておくと盗まれる
可能性があるので、切り離しておくのが一番です。

但し、他人に見られない様に管理するか、見られたとしても
分らない様にメモする必要があります。

尚、メモしてディスプレイやPC本体に張っておく事は一番やっ
てはいけない
事です。


如何してもPC内にメモを残しておきたい場合ですが、テキス
トファイルにメモした後に【入れておくと便利なフリーソフト】で
紹介しているLhaplus7ZIPの様な圧縮解凍ソフトを使用し、
PASSを付けて圧縮ファイルにしてください。

そうすれば、ファイル自体が流出したとしても情報を利用され
難くなります。



【リスト型ハックの個人的考察】
最近リスト型ハックの被害とされる情報流出事件が多数報告
されていますが、

個人がウイルスに感染して流出した情報のリストを使われて
不正アクセスされたと言う報告の中に、サーバ自体をハック
されたのを誤魔化している
所があるのではないか?と思える
事があります。


どういう事かというと、コンテンツ毎に使用できるIDやPASSの
必要文字数最高文字数違ったり、数字大文字必須
であると言う様な条件が違うからです。

例えば初めに最小6文字、最大12文字のコンテンツで10文字
のID
を作った後に最小4文字、最大8文字のコンテンツには同
じIDを作ろうとしても無理です。


また、小文字数字だけで良い所と、必ず大文字1つ以上
入れないと通らない場所では、後者IDを後で取得しようとした
ら同様に出来ません。

更に、既に取得されているIDは登録出来ないと言う事もあり
ます。

設定条件自体に差異があるのと、ID後から変更出来ない
ンテンツもある為、実際は統一したIDやPASSはそう多くない
はずです。


だから、最近の大量流出の原因の殆どリスト型ハックと発
表している事に疑問を覚えるわけです。

便乗して言い訳にしている可能性がある為、日頃から管理体
制の甘い企業
のコンテンツは警戒しておいた方が良いかもし
れません。



自衛する事は勿論ですが、情報管理の甘いコンテンツを使用
しないと言う事も必要かもしれませんね。



このBlogはBlogランキングに参加しています。
役に立ったと思った方はクリックをお願いします。




総合情報に戻る

TOPに戻る
この記事へのコメント:
コメント:を投稿する
URL:
コメント:
パスワード:
非公開コメント: 管理者にだけ表示を許可する
 
この記事のトラックバック URL
https://pcnomori.blog.fc2.com/tb.php/188-79772f32
この記事にトラックバックする(FC2ブログユーザー)
この記事へのトラックバック:
成長因子