なんとなく綴ってみた

アクセスカウンタ

zoom RSS 「Ameba」で約59万件の不正ログイン・・・今年は昨年以上に多い

<<   作成日時 : 2016/12/01 09:12   >>

ナイス ブログ気持玉 2 / トラックバック 0 / コメント 0

Amebaと言えば、Blogなどのサービスでは国内最大級の運営サイトである。CNETによると不正ログイン攻撃が11月28日から29日に掛けて行われたようだ。凡そ60万件が透過したようで、それらに対してパスワードの凍結と変更を呼びかけるようだ。
http://japan.cnet.com/news/service/35092962/

今年も、あと一ヶ月だが、今年は昨年よりさらに大規模攻撃が多い年だった。
この3年ほどで国内Webサービスへの攻撃は激増した。数年前までは北米や欧州で発生し国内は堅牢なシステムと日本語という環境が守ってくれていると信じられていたが、そういう時代はもう終わっている。何より問題なのは、昨年から今年に掛けての攻撃は、周到に準備された大規模攻撃が見られることだ。

国内の主要なシステムへの一斉DDoS攻撃も8月末〜9月初めに行われた形跡も見られ、一部のWebサービスは接続が出来ないまたは接続に時間が掛かる状況になった。

防衛省のシステムが攻撃されていたことが発覚したのは最近だ。自治体や他の省庁、経団連も攻撃も受け情報漏洩が発生したと思われる。

IoTやAIという言葉が、国内でも成長産業の位置づけになる中で、米国ではIoTデバイスをコントロールするエクスプロイトコードが、主要な企業のシステムをダウンまたは遅延させるというトラブルも今年は発生した。Windowsのように10年も保守をしてくれるIoTデバイスはない。スマートフォンでさえも、3年もアップデートやホットフィックスによる保守があれば万々歳となっている中で、今後この問題は加速しそうだ。むしろ、この問題にしっかり取り組まないと、たった数年で保守が終わるような家電やAV機器を作るメーカーのハードなど誰も買わなくなるだろう。

そういう長い目で見たコストがIoTデバイスを推進すればするほど、企業にのしかかることになる。これは、OSを自社開発しない企業には難しい問題である。


話を戻して、Amebaのような不正ログイン攻撃の被害に遭わないための方策を考えると、方法はそれほどない。

基本的には、パスワードを使い回さないことだ。しかも、類推できる文字列は極力使わないこと。
数字に加えて英字は大文字小文字を組み合わせることが大事になる。
特に危険なのは、何か意味のある英単語を使うことだろう。意味のある単語は、辞書登録されやすく餌食になりやすい。基本的には全く意味を持たない文字列が妥当である。

<IDやハンドルネームが割り振られるなら、メールアドレスログインは廃止すべし>

ただ、私が一番問題だと思うのは、利用者よりも管理側の部分である。
正直、IDとパスワードだけでログイン出来るWebサイトが少ないことには疑問しかない。Amebaでも、ソニーなどでも、ユニークIDを作っているのに、メールアドレスがIDの代わりになるという点が問題なのだ。そもそも、ユニークIDやハンドルネームは誰であるかを識別するのが難しくなる。

一方で、メールアドレスは一意のものであり、人とコミュニケーションを取る際に必ず、交換されるものだ。
要は、メールを誰かに送ればその人に必ずメールアドレスが知られる訳だ。もちろん、IDもそれがコミュニケーションサイトなら、サービス利用者同士で交換されるが、E-mailはサービス利用者の枠を越えたものであり、世界のサービスで共通である。だから、A社のサイトでメールアドレス漏洩が起きれば、B社でそのアドレスを使って、パスワードだけを類推すれば攻撃が成立する。

もしも、A社がメールアドレスを漏洩させても、B社がIDとパスワードだけで認証するサービスなら、メールアドレスの主を特定するのは難しく、他のサイトで漏洩したIDの項目とパスワードが合致する可能性は、大幅に減少する。


実はこれは、昔から言われていることだが、2000年代の初等はID認証の方が多かった。しかし、近年はサービス顧客を気軽に獲得するためか、IDもしくはメールアドレスと書かれているサービスが異常に増えてしまった。結果的に攻撃を受けて漏洩するケースが増えて来たとも言える。(ちなみに、金融機関やプロバイダーなどはメールアドレスログインを使っていないケースが多いのは、そういう理由がある)

これを改善しようとしないのは、ログイン時に覚える項目が増えることで、顧客が減るのを恐れているのだろうが・・・。情報漏洩が起きてしまえば、顧客側が心配になり減る可能性もあるわけで、頻回に攻撃を受ければ、対策費もかかる。そう考えれば、ここをIDオンリーにした方が安全である。もし、それが困るというのであれば、設定画面でIDログインとメールログイン設定の有効または無効化を加えてユーザーにゆだねるのも手だ。ユーザー側で漏れてもよいような捨てアドを分けて使ってもらえば、それでも対策にはなるからだ。


このところの一般企業の情報漏洩は、メールアドレスログインが使えるサービスが多い。これは、過去の漏洩したサービスからのパスワードリストを使っているからだろう。これは今後も続くと思われるが、そこから今度は新しい情報が漏れることもあり、いつまで経っても、終わることがない。これらの攻撃がこれからも続くと分かっていて、メールアドレスとIDの両方で認証できる手法を残すのは、命取りである。

こういう問題を、社会はもっと重く考えるべきだろう。
まあ、本来ならNISC(内閣サイバーセキュリティセンター)辺りが、そういう推奨令を出した方がよいかもしれない。徐々にでもそういう方向に変えていくことは大事なことだ。そして、それを日本から世界に発信することで、少なくとも二次漏洩や三次漏洩を軽減できる可能性は高まるだろう。



ESET ファミリー セキュリティ 5台3年版(最新版)
キヤノンITソリューションズ
2013-12-12

amazon.co.jpで買う
Amazonアソシエイト by ESET ファミリー セキュリティ 5台3年版(最新版) の詳しい情報を見る / ウェブリブログ商品ポータル







テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ
気持玉数 : 2
ナイス
かわいい

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
「Ameba」で約59万件の不正ログイン・・・今年は昨年以上に多い なんとなく綴ってみた/BIGLOBEウェブリブログ
文字サイズ:       閉じる