2段階認証でアカウントの乗っ取りを防ぐ!

驚きのニュースがありました。

ザッカーバーグ氏のSNSアカウントに不正侵入、LinkedInのパスワード流出に関連か

米Facebookのマーク・ザッカーバーグ最高経営責任者(CEO)が使っていたTwitterなどのパスワードが何者かに盗まれ、アカウントが荒らされる事件が起きた。メディア各社が6月5日に伝えた。
報道によると「OurMine Team」を名乗る集団がTwitterで、ザッカーバーグ氏のTwitterやPinterest、Facebook傘下のInstagramのアカウントに侵入したと公言した。LinkedInから流出したユーザーの個人情報の中に、ザッカーバーグ氏のパスワードがあったとしている。
ザッカーバーグ氏のTwitterのアカウント(@finkd)とPinterestのアカウント(zuck)には、相次いで不正な投稿が掲載された。同氏が使っていたとされる安易なパスワードをあざけるような内容もあった。Twitterで被害に遭ったのはザッカーバーグ氏が2012年1月以来、使っていなかったアカウントだった。

Ben Hallという人がツイートしています。

SNSに侵入されたなんていうと、ネットリテラシーが低いよねって話になってしまいますが、まさかのザッカーバーグ氏に起こるとは想定外ですよね。

2段階認証してなかったってのが不思議なんだけど、ザッカーバーグ氏のTwitterのアカウントは、2012年1月18日以降ツイートがないので、放置してた可能性が高いです。

パスワードクラックの方法

今回ハッキングを行ったのは、「OurMine Team」というハッカー集団です。実際にどんな手法でパスワードを入手したのかは分かりませんが、パスワードをクラックする手法にはどんなものがあるのか見てみましょう。

総当たり攻撃

ブルートフォース攻撃とも呼ばれています。1つのIDに対して、英数字を掛合わせたパターンをかたっぱしから入力していくという方法です。時間はかかるけど、100%の確立でパスワードを解析できます。

アカウントロックがあるウェブサービスならば、数回パスワードを間違えれば、アカウントはロックするので安全です。

逆総当たり攻撃

リバースブルートフォース攻撃とも呼ばれており、1つのパスワードに対して、IDを次々と変えてログインを試みる手法です。1アカウントに1回ずつの攻撃のため、アカウントロックは機能しません。

流出してしまう

同じIDとパスワードを使い回してるとクラックされる危険性が高まります。セキュリティーの甘いサービスから流出したIDとパスワードを使って、他のウェブサービスにログインされてしまいます。この場合、ハッキング集団というより、犯罪者集団がよく使う手なんですけどね。昨年、LINEで友人になりすまして、iTunesプリペイドカードを購入させる詐欺が横行したのは記憶に新しいですよね?

パスワードのクラックから防御する

防御方法は、2段階認証をするのが一番です。

日本のAmazonのように2段階認証がないサービスの場合、英数字だけでなく記号も含めた長いパスワードにするのが効果的です。米Amazonは2段階認証に対応してるんだから、日本のAmazonも早く対応して欲しいよね。

ウェブサービス毎にパスワードは変更

サービス毎に違うパスワードにするのは基本です。

なるべく複雑で推測されないようなパスワードにして、更に2段階認証をかけておくことをオススメします。

ブラウザで記憶すべし

ChromeやSafariを使っているなら、クラウドでパスワードは記憶してくれます。PC、スマホ、タブレットと複数端末があっても、同じIDでログインしていれば、パスワードを覚えてなくても、クラウドから降りてきますからね。

参考までに、2015年の安易なパスワードランキングを紹介します。

Announcing Our Worst Passwords of 2015

Worst Passwords of 2015

SNSは2段階認証すべし!

どんな複雑なパスワードにしても、クラックされるリスクはありますから、SNSやウェブサービスを利用するなら2段階認証は絶対にやっておくべきです。

SNSが悪意を持った第三者に乗っ取られると、周りの友人にも被害が拡大していきます。まだ2段階認証をしてない方は是非やってくださいね。

2段階認証には、スマホ・SMSのどちらかを使います。紛失してしまうとログインすらできなくなってしまいますよね?

どのサービスも、2段階認証できない環境に備えて「バックアップコード」を用意しています。「バックアップコード」を使えばログインできるので、いざという時も安心です。

Facebookの2段階認証

Facebook自体、2段階認証には力を入れていて、「Facebookアプリのコードジェネレーター」「Google Authenticator」「SMS」など複数の方法で2段階認証できる仕様になっています。

Facebookで2段階認証を設定
今日はFacebookでの2段階認証のやり方を紹介します。Facebookの仕様はしょっちゅう変わりますが、最新の2段階認証の方法になります...

Twitterの2段階認証

「スマホのアプリで認証」「SMS」の方法で2段階認証が可能です。

Twitterで2段階認証を設定する!
今日はTwitterの2段階認証についてのエントリーです。 つい先日ザッカーバーグ氏のTwitterがハッキングされましたが、今度はT...

Googleの2段階認証

「Google Authenticator」、「Googleからの電話でコードを受け取る」の方法があります。
「YubiKey」というハードウェアキーを購入して2段階認証を行うこともできます。

Googleで2段階認証を設定
Googleの2段階認証についてのエントリーを書きます。 Googleアカウントは、アカウントを1つ作るだけで、それに紐づくサービスが...

Appleの2段階認証

「iOSでコードを受け取る」「SMS」の方法が用意されています。

2段階認証できないAmazon・・主要サービスの2段階認証のまとめ
主要なプラットフォームで2段階認証がないのはAmazonだけってご存じですか? ちなみに楽天も2段階認証は不可です。 ECサイト...

フォローする

Instagram

▼このエントリーが役に立ったらいいね!
▼このエントリーが役に立ったらいいね!