パソコン(PC)の森

2020/031234567891011121314151617181920212223242526272829302020/05

PREV | PAGE-SELECT | NEXT

≫ EDIT

パスワード関連について

【パスワード関連について】

ネット上でユーザー登録が必要なコンテンツを利用する時にIDと
PASSWORDが必要になりますが、

フィッシングでIDとPASSを盗まれてハックやクラックを受けて
金銭的に被害を受ける方も多くなっている様なので、

今回はパスワード関連について小話を1つ。



【IDやPASSWORDを盗み取る手口】
まずはどうやってIDとPASSを盗み取るのかを説明します。

【フィッシング(phishing)】
銀行等の金融機関や有名ゲームソフトメーカーに扮して偽メール
を送り、メール内に偽サイトに誘導してIDとPASSを入力させる
事によって盗みます。

偽サイトの対策が進んできた最近ではメール内の添付画像等に
イルス
を仕込み、正規サイトを標示した時に偽のポップアップ
標示させてIDとPASSを入力させる様になりました。

また、最近はアドウェア(広告ソフト)にウイルスを仕込んでくる
事もあるので注意が必要です。


【予防と対策】
大抵この手のメールは隣国系の者だったりするので、日本語の文
になっています。

だから、おかしいメールは基本的に開かない様にして下さい。

件名だけまともな事が偶にあるので引っかかってしまう事もある
と思いますが、基本的にメール文の中からURLを利用してサイト
に入らない
様にすれば偽サイトは対策出来ます。


尚、メールを開いてしまってウイルスを食らってしまった場合は、
正規サイトに入った時点でIDやPASS等を求めるポップアップが
標示されるので、

その時はアンチウイルスソフトで駆除してください。
(基本的にサイト自体にIDとPASSを入力するフォームを設置する
事はあってもポップアップ経由はありない)

後、【アドウェア(広告表示ソフト)インストーラーに注意】で説
明している様な広告に引っ掛らない様に。



【キーロガー(Keylogger)】
元々はプログラミング等で入力したキーを記録し、入力ミス時の
確認をする為に使用していたツールですが、

入力したキーを記録する事を悪用し、アドウェアフリーソフト
に同機能のウイルスを仕込み、

感染者が入力した文字列を文章データに保存して自動的に攻撃者
にメールで送る
事で情報を盗みます。

以前はキーロガー単体のマルウェア(悪意のあるソフト)をネット
カフェ等の不特定多数が使うPCに仕込まれている事が主でしたが、

最近ではソフトにウイルスとして仕込まれている事が多くなりま
した。(特にネットゲームユーザーを対象とした物が多発)


【予防と対策】
怪しいフリーソフトを使用しないしない事ですが、画像サイト
掲示板等にウイルスを張られている事があるので、セキュリティ
ソフトで自衛を日頃から心がける必要があります。

また、ネットカフェ等ではIDやPASSが必要なコンテンツを利用
しない
事が理想ですが、どうしても使用する場合は、帰宅後にID
やPASSを変更
したほうが良いでしょう。



【コンテンツ運営会社のサーバにハッキング】
上記二つはコンテンツを利用しているユーザーに対してのもので
すが、コンテンツを運営している企業のサーバハックして情報
を盗む事があります。


【予防】
情報管理は企業側の責任であり、ユーザー側から対策は無理です
が、同じIDやPASS別コンテンツで使用しない様にすれば被害
は最小限に抑えられます。



(2014/11/09時点)
【現在おきているリスト型不正アクセスとは】
基本的にIDやPASSを盗まれた時に起きる被害は基本的に盗まれ
たIDとPASSが必要なコンテンツ
だけですが、

最近はIDPASS使い回す人間が多い事に目を付け、他のコン
テンツも不正アクセスをされる事がある様です。

上記の不正行為によって取得したIDPASSセットにしたリス
を作成し、

他社コンテンツ同じIDとPASSを使用しているアカウントがな
いかを探して
IDとPASSを実行して行く方式の不正アクセスです。


同じIDとPASSを利用している場合、ネット上の複数のコンテン
不正アクセスされてしまい、

情報が1つ漏れただけで複数のコンテンツで被害が出るので騒ぎ
になっているわけです。


【被害を受けない、最小限にする為には】
PCのセキュリティをしっかりしておくのは勿論ですが、サーバ管
理者権限をハックされた場合はユーザーにはどうし様も無い為、

基本的にIDPASS使い分ける事位しか被害を最小限に抑える
方法はありません。


一応携帯端末専用ハードで取得できるワンタイムパスワード(
度きりの使い捨て
)の様な多重セキュリティを使用しているコンテ
ンツを優先的に使用するという事も出来ますが、

使用したいコンテンツに付いている保証は無いので限界があり
ます。

やはり多少面倒でもIDとPASSを分けたほうが良いでしょう。



【IDとPASSの考え方】
複数のIDとPASSを覚えるのは大変だと思われる方もいると思い
ますが、意外と覚えやすい方法があります。

基本的にコンテンツの内容に関連した事柄IDにし、更にPASS
文章だてる事でコンテンツに紐付けして覚える事です。

例えば気象情報サイトに登録するとした場合、ID:Natu4koi
PASS:asita10ki2naareといった感じや、

ネットゲーム(FPS)に登録するとした場合、ID:kenTekihi3tu
PASS:cyan10kanrisi6という感じです。

コンテンツ思っている事でも良いし、内容に関係する事でも良
いので、文章だてる事で覚え易くなります。



【IDとPASSの保存の仕方】
記憶しておくのが一番なのは確かですが、多くなってくると難し
いのでその様な時の保存方法です。

一番なのはにメモする事です。

ネットワークにつながっているPC内に入れておくと盗まれる可能
性があるので、切り離しておくのが一番です。

但し、他人に見られない様に管理するか、見られたとしても分ら
ない様に
メモする必要があります。

尚、メモしてディスプレイやPC本体に張っておく事は一番やって
はいけない
事です。


如何してもPC内にメモを残しておきたい場合ですが、テキストフ
ァイルにメモした後に【入れておくと便利なフリーソフト】で紹
介しているLhaplus7ZIPの様な圧縮解凍ソフトを使用し、PA
SS
を付けて圧縮ファイルにしてください。

そうすれば、ファイル自体が流出したとしても情報を利用され難
くなります。



【リスト型ハックの個人的考察】
最近リスト型ハックの被害とされる情報流出事件が多数報告され
ていますが、

個人がウイルスに感染して流出した情報のリストを使われて不正
アクセスされたと言う報告の中に、サーバ自体をハックされたの
を誤魔化している
所があるのではないか?と思える事があります。


どういう事かというと、コンテンツ毎に使用できるIDやPASSの
必要文字数最高文字数違ったり、数字大文字必須である
と言う様な条件が違うからです。

例えば初めに最小6文字、最大12文字のコンテンツで10文字のID
を作った後に最小4文字、最大8文字のコンテンツには同じIDを作
ろうとしても無理です。


また、小文字数字だけで良い所と、必ず大文字1つ以上入れな
いと通らない場所では、後者IDを後で取得しようとしたら同様に
出来ません。

更に、既に取得されているIDは登録出来ないと言う事もあります。

設定条件自体に差異があるのと、ID後から変更出来ないコンテ
ンツもある為、実際は統一したIDやPASSはそう多くないはず
です。


だから、最近の大量流出の原因の殆どリスト型ハックと発表し
ている事に疑問を覚えるわけです。

便乗して言い訳にしている可能性がある為、日頃から管理体制の
甘い企業
のコンテンツは警戒しておいた方が良いかもしれません。



自衛する事は勿論ですが、情報管理の甘いコンテンツを使用しな
いと言う事も必要かもしれませんね。



このBlogはBlogランキングに参加しています。
役に立ったと思った方はクリックをお願いします。




総合情報に戻る

TOPに戻る

| ネット関連 | 03:42 | comments:0 | trackbacks:0 | TOP↑

COMMENT















非公開コメント


TRACKBACK URL

https://pcnomori.blog.fc2.com/tb.php/188-79772f32

TRACKBACK

PREV | PAGE-SELECT | NEXT