パスワードは使い回すべからず・・・

IDとパスワードの流出事件をググると、山のように出てくる出てくる。

IDとパスワードを使いまわすことは絶対にやめてください。犯罪者集団は、流出したIDとパスワードを元に、様々なサービスで不正ログインを試みます。

Yahoo! JAPANや楽天は、よく流出しているイメージがありますよね？でも、それ以外のGoogleやMicrosoftやTwitterだって過去に流出したことがあります。

まずは、どのような流出経路があるのか見てみましょう。

犯罪者集団が最初に行うことは、ユーザーのIDとパスワードのリストを手に入れることです。

• 「サービス側のサーバーを攻撃して、IDとパスワードを手に入れる」
• 「マルウェアを使って、IDとパスワードをユーザーのPCから不正取得」
• 「IDとパスワードのリストを買ってくる」

サービス側のサーバーを攻撃して、IDとパスワードを手に入れる

大手だとYahooとか楽天のセキュリティは弱いので、よく狙われています。
あとは、弱小のセキュリティ意識の低いECサイトが狙われます。

■2013年5月17日：当社サーバへの不正なアクセスにより、最大2200万件のYahoo! JAPAN IDが抽出されたファイルが作成されていることが判明。
・プレスリリース
http://pr.yahoo.co.jp/release/2013/0517a.html

■2013年5月23日：17日の件で、引き続き調査を続けていたところ、新たに前回の2200万ID（Yahoo! JAPAN総ID数、約2億）のうち、148.6万件については、不可逆暗号化されたパスワード、パスワードを忘れてしまった場合の再設定に必要な一部が流出した可能性が判明。
・プレスリリース
http://pr.yahoo.co.jp/release/2013/0523a.html

[不正アクセスに関して]Yahoo! JAPAN ID状況確認のお願い

マルウェアを使って、IDとパスワードをユーザーのPCから不正取得

GoogleやFacebookなどの場合、サービスのセキュリティは強固なので、サーバーがハッキングされてパスワードが流出することはめったにありません。

よくあるのは、ユーザーのPCがマルウェアに感染して、そこから流出するケースです。

IDとパスワードのリストを買ってくる

技術力のある犯罪者集団ばかりではないので、すでに出回ったリストを購入してくることもあります。

プロキシサーバーがリストを売ることもあるかも

犯罪者集団は足がつかないように、プロキシサーバー経由で不正ログインします。

なので、プロキシサーバーを運営していれば、犯罪者集団が不正ログインに使ったIDとパスワードをプロキシサーバー側で記録することは可能です。すると、悪質なプロキシサーバー業者であれば、リストを作って販売するとかもあるだろうね。

インターネット接続を中継する「プロキシサーバー」の運営業者らが昨年11月に摘発された不正アクセス事件で、警視庁サイバー犯罪対策課は25日、押収した東京都豊島区の業者のサーバーから、大手ポータルサイトなどのＩＤやパスワード延べ約1800万件が見つかったと発表した。

不正アクセス事件、警視庁押収のサーバーに個人情報1800万件

メールアドレスやIDが流出しているか確認するサイト

IDとパスワードの流出事件があった際に、自分のメルアドやIDが流出しているか気になりますよね？

「Have I Been Pwned?」というサイトで流出状況を確認することができます。

Have I Been Pwned?

1. Notify me をクリック
2. メールアドレスを入力
3. Notify me pwnage をクリック

流出した際の通知機能もありますので、心配な方は登録してください。

ありがちなパスワードって？

パスワード管理アプリを制作しているSplashDataによる、2015年のありがちなパスワードランキングを見てみましょう。

Announcing Our Worst Passwords of 2015

1位：123456 (2014年と変わらず)
2位：password (2014年と変わらず)
3位：12345678
4位：qwerty
5位：12345

こういうパスワードを使っている方がいたら、すぐにでも変更してくださいね。

パスワードはクラウドで保存する

以前は「1Password」というアプリを使って「IDとパスワード」を記憶させていた方も多いと思います。でも、わざわざアプリを買わなきゃいけないのと、OS毎にアプリは別だったので、Windows・Mac・Android・iOSを使っている場合、4つのアプリを購入しないといけませんでした。

今はこのアプリを使わなくても、AppleやGoogleで同様の機能があります。

Appleの場合は、iCloudのキーチェーンを使います。Apple IDでログインしていればクラウドで「IDとパスワード」が保存されます。
iPhoneやMacを使って、Safariブラウザで様々なサービスにログインする際、クラウドからパスワードを引っ張って来ることが可能です。サービス毎の「IDとパスワード」は自動で入力されますので、覚えておく必要はなくなりました。

Googleの場合は、GoogleアカウントとChromeブラウザで同様の機能があります。ChromeでGoogleアカウントにログインしていれば、Windows・Mac・Android・iOS間で「IDとパスワード」が同期できるので、めちゃ便利です。

パスワードを管理する

iCloud キーチェーンを設定する

クラウドで「IDとパスワード」は覚えてくれるので、絶対に異なるサイトでパスワードを使い回すのはやめましょう。

2段階認証で不正ログインを防ぐ

もし、メールアドレスやIDが流出したとしても、2段階認証をかけておけば、不正ログインは防げます。

2段階認証も絶対にやっておいてくださいね。

2段階認証でアカウントの乗っ取りを防ぐ！

驚きのニュースがありました。 米Facebookのマーク・ザッカーバーグ最高経営責任者（CEO）が使っていたTwitterなどのパスワードが何者かに盗まれ、アカウントが荒らされる事件が起きた。メディア各社が6月5日に伝えた。 報道によると「...

ischool.co.jp

2016.06.07