あなたのパスワードは安全ですか?  パスワードの安全活用と悪用される危険を防ぐ方法とは

「パスワードを複雑にしているから安全」と考えていませんか? 実は、私はそう考えていました。しかし、同じパスワードを複数サービスで使っていると、いくら複雑にしてもダメです。

最近、「パスワードリスト攻撃」が増大中で、何らかの手段により盗んだパスワードを用いて、他のサービスも不正利用されます。この場合、いくらパスワードを複雑にしていても役に立ちません。

同じパスワードを複数サービスで使っていると、この「パスワードリスト攻撃」に会う危険性が増します。

また、パソコンがウイルスに感染することでパスワードが漏えいしたり、メールで銀行などを名乗りパスワードを不正に入手したり、電話でクレジットカード会社とだましパスワードを入手したりと、パスワードを盗む攻撃は様々あります。

今回は、パスワードを守り、勝手にサービスを利用される危険を防ぐ方法を考えてみたいと思います。また、パスワードを悪用する方法についても紹介します。

 

なお、ログインの際に、パスワードに加えてセキュリティコードの入力が必要な「2段階認証」というのがあります。これを利用することで、パスワードを強化し、「パスワードリスト攻撃」も防ぐことができます。これについても簡単に紹介します。

 

最近では、この「2段階認証」を導入するインターネット・サービスが増えてきましたので、この機会に「2段階認証」を活用したらよいですね。ただし、導入時は少々面倒なので、事前に手順をよく確認することが大事です。

 

 


■ パスワードを守り安全活用する13カ条

 

こ れから、ますます、インターネットのサービスを利用する機会が増えます。パスワードを守り安全に活用することは、自分の貴重な情報やお金を守ることにつな がります。特に、(1)~(5)は重要な内容ですので、注意下さい。なお、(1)、(2)の詳しい内容は下記を参照下さい。

 インターネット安全活用 一灯塾
 http://lifesecurityup.blogspot.com/2015/07/blog-post_20.html

 

 

(1) 見破られにくいパスワードを使う

 

英字の小文字・大文字、数字、記号を混合させ、8桁以上のパスワードを使う。

 

(2) パスワードは人目に触れないよう十分注意して管理する

 

①紙のメモ(IDとパスワードは別々の紙に分けて管理する

②電子ファイル(パスワード付き)で保管する

③パスワード管理ソフトを利用する

 

(3) 同じパスワードを複数のサービスで使わない(パスワードリスト攻撃対策)

 

他のサービスで盗まれたパスワードを使って悪用される危険性が高まります。

 

(4) パスワードを定期的に変更する

 

知らないうちにパスワードがウイルスなどで流失し、悪用されている場合があります。

 

(5) セキュリティ対策ソフトを使用し、ウイルスパターンを定期的に更新する(ウイルス対策

 

ウイルスなどの不正ソフトやフィッシング詐欺で、パスワードが知らないうちに流出するのを防ぎます。

 

(6) パスワードを強化する2段階認証を活用する

 

2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。

 

(7) 不特定多数の人が利用する所(インターネットカフェなど)ではパスワードを入力しない

 

パソコンにパスワードが残ると悪用され危険だし、このようなパソコンにはウイルスが潜んでいる可能性があります。

 

(8) パスワードや機密情報を電話などで聞いてきたときは危険と考え無視する。(ソーシャルエンジニアリング対策)

 

通常、このようなことを電話などで確認しません。無視しましょう!

ソーシャルエンジニアリングとは、電話、盗み見、盗み聞き、話術などの手段で、人為的なミスにつけ込み、パスワードなどの機密情報を盗む行為です。

 

(9) 個人情報を扱うサイトは”https://”と httpに”s”が付いていることを確認する。

 

銀行サイトや、アマゾンなどの個人情報を扱うオンラインショッピングでは、必ず、”URL”は ”https://”と httpに”s”が付いていることを確認してください。

 

(10) 公衆無線LANで個人情報を使う場合もサイトは”https://”と httpに”s”が付いていることを確認する

 

公衆無線LANなど安全性が不明な場所でインターネットで個人情報を使う場合も、URLが ”https://”となっていることを確認してください。

 

(11) パスワードや口座情報などを要求するメールは無視する(フィッシング詐欺対策)

 

銀行などの企業は、顧客のパスワードや口座情報をメールで尋ねることはありません。このようなメールは無視してください。

 

(12)アカウント名・パスワード等の個人情報を要求するメールは無視する(フィッシング詐欺対策)

 

システム変更でパスワード変更が必要と、不正なサイトに誘導してパスワードを盗む詐欺があります。個人情報を要求するメールは無視して、メールのURLを決してクリックしない。

 

(13)口座やクレジットカードの明細を定期的にチェックする。

 

どんなに注意しても、不正に利用されている場合があります。クレジット・カードなどの明細は、おかしい金額が書かれていないかチェックして、個人情報が盗まれたり、クレジットカード詐欺にあったりしていないか監視してください(不正な請求がないか確認)。

 

 


■ 不正アクセス対策に、2段階認証を活用しよう!

 

別のサービスやシステムから盗んだID・パスワードを用いて不正アクセスする、パスワードリスト攻撃が増えています。

 

オンラインストレージサービスの中には、自分の大切なデータがたくさんあり、不正アクセスされ悪用されると、とても危険です。

 

 ①「同じID、パスワードを複数のサービスで使わない」という対策以外に、

 ②「不正アクセスを防ぐ”2段階認証”」を活用することも

 

大事になってきました。

 

2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。

次のブログに、GoogleDropboxMicrosoftの”2段階認証”の方法をまとめていますので、参考にして下さい。

 Googleの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/09/500google2.html

 Dropboxの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/10/dropboxid.html

 Microsoftの”2段階認証”について
 http://lifesecurityup.blogspot.jp/2015/08/microsoft2.html
 

 


■ パスワードを悪用する方法とは?

 

 

■手当たり次第にパスワードを変化させて見破る「パスワード総当たり攻撃」

 

これは、パスワードを考えられるすべてのパターンをリストアップし片っ端から試し、パスワードを解読しようする試みのことです。

 

使える文字の種類や長さが増えると、組み合わせの数は増大し、見破られる可能性が低くなります。パスワードを見破られないようにするためには、パスワードを複雑にする必要があります。

 

 

■不正に入手したパスワードを使う「パスワードリスト攻撃」

 

最近、よくあるインターネット攻撃に「パスワードリスト攻撃」があります。これは、何らかの手段により、インターネットのサービスやシステムから盗んだID・パスワードを用いて、他のサービスのログインを試みる攻撃手法です。

 

例えば、いつも使っているサービスAのパスワードを、他のサービスBでも使っていた場合、もし、サービスBのシステムからパスワードが盗まれた場合、サービスBばかりでなく、いつも使っていたサービスAも不正利用されます。

 

このように、複雑なパスワードであっても、同じパスワードを複数のサービスで使っていると、「パスワードリスト攻撃」で不正に利用される危険性が高まります。

 

サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正アクセスが可能になります。単純なことですが、意外に忘れがちな落とし穴です。

 

  サイトA・・・ログイン ID=abc パスワード=xyz12345

 

  サイトB・・・ログイン ID=abc パスワード=xyz12345

    *サイトAとID・パスワードが同じ

 

  サイトC・・・ログイン ID=abc パスワード=xyz12345

    *サイトAとID・パスワードが同じ

 

 

■ウイルスやフィッシング詐欺による不正アクセス

 

他人に推測されにくいパスワードでも、ウイルスに感染することでパスワードが漏えいします、ウイルス対策スパイウェア対策をしっかり行うことが必要です。

 

インターネットバンキングの不正送金の多くでは、ウイルスが悪用されています。

 

犯人は、インターネットバンキングユーザーのパソコンに、何らかの方法でウイルスを感染させます。

 

ウイルスは、実際のログイン画面に見せかけた画面を表示し、ユーザーにパスワードなどを入力させて、犯人に送信し、犯人はそのパスワードを使って正規ユーザーになりすまし、第三者の口座に送金します。

 

また、フィッシング詐欺も多発しており、犯人は、金融機関をかたる偽メールを送信し、ネットバンキングのWebサイトに見せかけた偽サイト(フィッシングサイト)にユーザーを誘導。偽のログイン画面にパスワードなどを入力させて盗みます。

 

 

ソーシャルエンジニアリングとは

 

ソーシャルエンジニアリングとは、電話、盗み見、盗み聞き、話術などの手段で、人為的なミスにつけ込み、パスワードなどの機密情報を盗む行為です。代表的な例は実は、この手法でパスワードを盗まれる場合も多いので、注意が必要です。

 

代表的な例:

 

(1) パスワードを入力するところを背後から盗み見する

(2) システム管理者になりすまして、パスワードや個人情報などを聞き出す

(3) 同僚や上司、あるいは同級生や警察関係者などになりすまして、家族から個人情報などを聞き出す

(4) 宅配業者などになりすまして、正確な住所や名前などを聞き出す

(5) ごみをあさって、個人情報や機密情報などを入手する

 

ソーシャルエンジニアリングの犠牲者にならないためには、誰かが「個人情報が必要だ」と、言ってきたら、まずはその人の身元を確認することです。

 

また、もともと、パスワードや機密情報を電話やメールで聞いてきたりしません。もし、クレジットカード会社から「あなたのカードが不正利用されていませんか?」という電話がかかってきたら、「わかりました」と言って一度電話を切り、こちらからかけ直します。

 

その時は、電話をかけてきた相手が言った番号ではなく、クレジットカード会社の番号を調べて、そこへ電話をします。