パスワードは使い回すべからず・・・

IDとパスワードの流出事件をググると、山のように出てくる出てくる。

IDとパスワードを使いまわすことは絶対にやめてください。犯罪者集団は、流出したIDとパスワードを元に、様々なサービスで不正ログインを試みます。

Yahoo! JAPANや楽天は、よく流出しているイメージがありますよね?でも、それ以外のGoogleやMicrosoftやTwitterだって過去に流出したことがあります。

まずは、どのような流出経路があるのか見てみましょう。

犯罪者集団が最初に行うことは、ユーザーのIDとパスワードのリストを手に入れることです。

  • 「サービス側のサーバーを攻撃して、IDとパスワードを手に入れる」
  • 「マルウェアを使って、IDとパスワードをユーザーのPCから不正取得」
  • 「IDとパスワードのリストを買ってくる」

サービス側のサーバーを攻撃して、IDとパスワードを手に入れる

大手だとYahooとか楽天のセキュリティは弱いので、よく狙われています。
あとは、弱小のセキュリティ意識の低いECサイトが狙われます。

[不正アクセスに関して]Yahoo! JAPAN ID状況確認のお願い

■2013年5月17日:当社サーバへの不正なアクセスにより、最大2200万件のYahoo! JAPAN IDが抽出されたファイルが作成されていることが判明。
・プレスリリース
http://pr.yahoo.co.jp/release/2013/0517a.html

■2013年5月23日:17日の件で、引き続き調査を続けていたところ、新たに前回の2200万ID(Yahoo! JAPAN総ID数、約2億)のうち、148.6万件については、不可逆暗号化されたパスワード、パスワードを忘れてしまった場合の再設定に必要な一部が流出した可能性が判明。
・プレスリリース
http://pr.yahoo.co.jp/release/2013/0523a.html

学テ関連システムのID流出

文部科学省は27日、19日に実施した「全国学力・学習状況調査」(全国学力テスト)に関連するシステムのサーバーにアクセスするためのIDとパスワードの一部が外部に流出したと発表した。個人情報やテスト結果を含む情報はなく、不正アクセスもない。

マルウェアを使って、IDとパスワードをユーザーのPCから不正取得

GoogleやFacebookなどの場合、サービスのセキュリティは強固なので、サーバーがハッキングされてパスワードが流出することはめったにありません。

よくあるのは、ユーザーのPCがマルウェアに感染して、そこから流出するケースです。

Twitter: 最大3300万人分のユーザーIDとパスワードが外部流出・流出源はマルウェアの可能性

Twitterでは、流出した3300万人分ユーザーIDとパスワードは、同社のサーバーから流出したものではなく、マルウェアなどを使う手法によりユーザーのPCから直接、取得したものとする見解を示している。

IDとパスワードのリストを買ってくる

技術力のある犯罪者集団ばかりではないので、すでに出回ったリストを購入してくることもあります。

プロキシサーバーがリストを売ることもあるかも

犯罪者集団は足がつかないように、プロキシサーバー経由で不正ログインします。

なので、プロキシサーバーを運営していれば、犯罪者集団が不正ログインに使ったIDとパスワードをプロキシサーバー側で記録することは可能です。すると、悪質なプロキシサーバー業者であれば、リストを作って販売するとかもあるだろうね。

不正アクセス事件、警視庁押収のサーバーに個人情報1800万件

インターネット接続を中継する「プロキシサーバー」の運営業者らが昨年11月に摘発された不正アクセス事件で、警視庁サイバー犯罪対策課は25日、押収した東京都豊島区の業者のサーバーから、大手ポータルサイトなどのIDやパスワード延べ約1800万件が見つかったと発表した。

メールアドレスやIDが流出しているか確認するサイト

IDとパスワードの流出事件があった際に、自分のメルアドやIDが流出しているか気になりますよね?

「Have I Been Pwned?」というサイトで流出状況を確認することができます。

Have I Been Pwned?

  1. Notify me をクリック
  2. メールアドレスを入力
  3. Notify me pwnage をクリック

流出した際の通知機能もありますので、心配な方は登録してください。

ありがちなパスワードって?

パスワード管理アプリを制作しているSplashDataによる、2015年のありがちなパスワードランキングを見てみましょう。

Announcing Our Worst Passwords of 2015

1位:123456 (2014年と変わらず)
2位:password (2014年と変わらず)
3位:12345678
4位:qwerty
5位:12345

ありがちなパスワード

こういうパスワードを使っている方がいたら、すぐにでも変更してくださいね。

パスワードはクラウドで保存する

以前は「1Password」というアプリを使って「IDとパスワード」を記憶させていた方も多いと思います。でも、わざわざアプリを買わなきゃいけないのと、OS毎にアプリは別だったので、Windows・Mac・Android・iOSを使っている場合、4つのアプリを購入しないといけませんでした。

今はこのアプリを使わなくても、AppleやGoogleで同様の機能があります。

Appleの場合は、iCloudのキーチェーンを使います。Apple IDでログインしていればクラウドで「IDとパスワード」が保存されます。
iPhoneやMacを使って、Safariブラウザで様々なサービスにログインする際、クラウドからパスワードを引っ張って来ることが可能です。サービス毎の「IDとパスワード」は自動で入力されますので、覚えておく必要はなくなりました。

Googleの場合は、GoogleアカウントとChromeブラウザで同様の機能があります。ChromeでGoogleアカウントにログインしていれば、Windows・Mac・Android・iOS間で「IDとパスワード」が同期できるので、めちゃ便利です。

保存したパスワードを管理する

iCloud キーチェーンについてよくお問い合わせいただく質問 (FAQ)

クラウドで「IDとパスワード」は覚えてくれるので、絶対に異なるサイトでパスワードを使い回すのはやめましょう。

2段階認証で不正ログインを防ぐ

もし、メールアドレスやIDが流出したとしても、2段階認証をかけておけば、不正ログインは防げます。

2段階認証も絶対にやっておいてくださいね。

2段階認証でアカウントの乗っ取りを防ぐ!
驚きのニュースがありました。 ザッカーバーグ氏のSNSアカウントに不正侵入、LinkedInのパスワード流出に関連か 米Facebo...

フォローする

Instagram

▼このエントリーが役に立ったらいいね!
▼このエントリーが役に立ったらいいね!