「mineo」も不正ログイン被害、6458件 リスト型攻撃で……パスワードは重要。

ITmediaの記事である。mineoも不正ログイン事件があったようだ。NTTドコモではiPhoneXを買われるという被害があったが、こちらは今のところ未然に防げているようである。カード番号などはマスキングしているらしく、決済まで進めなかったのだろう。

これは、他社でも搭載されているところがあるが、携帯など商品を購入する場合にはカード番号を登録していても携帯などを別途買い換える(契約の抜本的な更改をする)場合には、カード番号の再チェックが行われる仕組みでも備わっているのだろう。既存サービスの変更ならまだしも、その契約に紐付いた基幹ハードも変更する場合にはかなり有効な策である。
http://www.itmedia.co.jp/news/articles/1808/13/news084.html


<システムで出来ること利用者がすべきこと>

システムで出来るセキュリティには限界がある。今回の場合出来るとしたら特定のIPから一定以上の異なるユーザー通信がリクエストされている場合には、通信を数十分遮断するという仕組みを加えると攻撃は難しくなる。

ただし、それが例えば人口密集地で沢山の利用者がいる場所の場合は、今度は実際に契約情報の確認をするユーザーなどが使えなくなる恐れがあり、サービスの低下に繋がる。

だから、その手の攻撃が一定数生じたら一定時間のみ画像認証など追加の確認手順を設けることで、相手は攻撃しにくくなると思われる。それと同時に、同じアクセス履歴のあるIPから契約情報にアクセスした形跡のある人に、注意を促すと(暫くアクセスに制限が出ると通知するだけでも)効果的かも知れない。ただ、最近はそれを悪用してフィッシングサイトに誘導する攻撃もあるので、あくまで通知に止め、詳しくはこちらなどのURLを置かないのも重要だ。


それが出来たとしても限界はある。それを組みこんでも、それに対抗する分岐攻撃コードの準備が整えば、断続攻撃される恐れはある。即ち、システムで出来ることには限界がある訳だ。
パスワードを流用している利用者は、きっとそういう限界に気が付いていない人が殆どだと思われる。


本来は、それがあるからこそ、パスワードはサイトごとに必ず変更すること、可能な限り難読なパスワードにすることが求められる。


利用頻度の低いサービスを使っていて、忘れるのが怖いといってもメールアドレスなどが変わらないなら、実はパスワードは比較的簡単に変更が可能だ。利用頻度が低いなら、解約した方が良いかも知れないし、低いならそもそもパスワードなど覚えなくても、使う時だけパスワード忘れちゃったので、変更の手続きをしようと作業してもよい。

覚えてなければならないパスワードなら、ノートにでも書き残して鍵の掛かる机の引き出しにでも入れておくか、最初の数日の間に何度か、ログインとログオフを行ってパスワードを忘れないように覚えてしまうのも手だ。エクセルにリストで残して、それに絶対に忘れない長いパスワードを与えるという手もある。パスワード管理ソフトも今はある。

同じパスワードを使い回すよりこちらの方が明らかに安全性は高い。


<お金や個人情報に影響するものは注意>

とにかく、金銭に関するサービスを使っている場合や、個人または友人などの情報が多く入っているサービスを使うときには、パスワードは必ず他のサービスと被らないものを使うことだ。私のパスワードは被っていないという場合でも、希に、いくつかのサービスで定期的にパスワードを回し利用しているケースがある。

これは、同じパスワードを使っているのと変わりない。パスワードは定期的に変更しなくても良い。
重要なのは、とにかく長くて堅牢なパスワードを使うこと。絶対に知られては困る漏れては困る情報があるなら、パスワードを使い回さないことが重要だ。また、パスワードを定期的に変更するつもりなら、今のパスワードに1文字追加するぐらいのやり方をした方がよい。25文字までのパスワードに対応するサービスで、年に1度パスワードを変更する場合、最初は8文字からはじめて、次の年は9文字と増やしていくと12年で20文字になる。

17年間は文字数が増え続けるため、サービスが瓦解しない限り堅牢性は増していく。
その頃には、もっと複雑で確実な認証があるかもしれない。


<携帯サービスでは2段階認証を>

携帯に関する認証では、二段階認証をするのが一番良い。これを設定しておくと、必ず指定したメールまたはSMSに認証の確認がやってくるからだ。確認をしなければ、攻撃者はログイン出来なかったり、重要な契約情報を変更できないだろう。ユーザーが状況を理解出来ず、許可サイトにアクセスして許可しない限りは……。


<攻撃者からすれば攻撃がビジネス>

重要なのは、騙す側からみれば騙される側がただのカモになるということだ。騙すことがビジネスなのだ。騙す側が最も悪いが、騙される側にも理由があるということだ。そして、運悪く騙されるとその代償として、金銭や情報を搾取される。そこから情報を守るという点では、確かに事業者で出来ることもあるが、全て事業者に出来る訳では無い。最終的に自分の情報や自分の持つ家族、友人の情報を守ることが出来るのは、自分自身である。
もし、それを盗まれれば、社会的な信用を多くの場面で失うことだってある。

最終的に自分を守るのは自分であるということだ。






ESET ファミリー セキュリティ (最新版) | 5台3年版 | カード版 | Win/Mac/Android対応
キヤノンITソリューションズ
2017-04-01

amazon.co.jpで買う
Amazonアソシエイト







この記事へのコメント

この記事へのトラックバック