2段階認証でアカウントの乗っ取りを防ぐ！

驚きのニュースがありました。

米Facebookのマーク・ザッカーバーグ最高経営責任者（CEO）が使っていたTwitterなどのパスワードが何者かに盗まれ、アカウントが荒らされる事件が起きた。メディア各社が6月5日に伝えた。
報道によると「OurMine Team」を名乗る集団がTwitterで、ザッカーバーグ氏のTwitterやPinterest、Facebook傘下のInstagramのアカウントに侵入したと公言した。LinkedInから流出したユーザーの個人情報の中に、ザッカーバーグ氏のパスワードがあったとしている。
ザッカーバーグ氏のTwitterのアカウント（@finkd）とPinterestのアカウント（zuck）には、相次いで不正な投稿が掲載された。同氏が使っていたとされる安易なパスワードをあざけるような内容もあった。Twitterで被害に遭ったのはザッカーバーグ氏が2012年1月以来、使っていなかったアカウントだった。

ザッカーバーグ氏のSNSアカウントに不正侵入、LinkedInのパスワード流出に関連か

Ben Hallという人がツイートしています。

Ouch. Mark Zuckerberg’s social media accounts have been hacked pic.twitter.com/KvVmXOIg5s

— Ben Hall (@Ben_Hall) 2016年6月5日

SNSに侵入されたなんていうと、ネットリテラシーが低いよねって話になってしまいますが、まさかのザッカーバーグ氏に起こるとは想定外ですよね。

2段階認証してなかったってのが不思議なんだけど、ザッカーバーグ氏のTwitterのアカウントは、2012年1月18日以降ツイートがないので、放置してた可能性が高いです。

パスワードクラックの方法

今回ハッキングを行ったのは、「OurMine Team」というハッカー集団です。実際にどんな手法でパスワードを入手したのかは分かりませんが、パスワードをクラックする手法にはどんなものがあるのか見てみましょう。

総当たり攻撃

ブルートフォース攻撃とも呼ばれています。1つのIDに対して、英数字を掛合わせたパターンをかたっぱしから入力していくという方法です。時間はかかるけど、100%の確立でパスワードを解析できます。

アカウントロックがあるウェブサービスならば、数回パスワードを間違えれば、アカウントはロックするので安全です。

逆総当たり攻撃

リバースブルートフォース攻撃とも呼ばれており、1つのパスワードに対して、IDを次々と変えてログインを試みる手法です。1アカウントに1回ずつの攻撃のため、アカウントロックは機能しません。

流出してしまう

同じIDとパスワードを使い回してるとクラックされる危険性が高まります。セキュリティーの甘いサービスから流出したIDとパスワードを使って、他のウェブサービスにログインされてしまいます。この場合、ハッキング集団というより、犯罪者集団がよく使う手なんですけどね。昨年、LINEで友人になりすまして、iTunesプリペイドカードを購入させる詐欺が横行したのは記憶に新しいですよね？

パスワードのクラックから防御する

防御方法は、2段階認証をするのが一番です。

日本のAmazonのように2段階認証がないサービスの場合、英数字だけでなく記号も含めた長いパスワードにするのが効果的です。米Amazonは2段階認証に対応してるんだから、日本のAmazonも早く対応して欲しいよね。

ウェブサービス毎にパスワードは変更

サービス毎に違うパスワードにするのは基本です。

なるべく複雑で推測されないようなパスワードにして、更に2段階認証をかけておくことをオススメします。

ブラウザで記憶すべし

ChromeやSafariを使っているなら、クラウドでパスワードは記憶してくれます。PC、スマホ、タブレットと複数端末があっても、同じIDでログインしていれば、パスワードを覚えてなくても、クラウドから降りてきますからね。

「Chrome」「Safari」を使って、パスワードを安全に管理する方法！

みなさま、ウェブサービスのパスワードはどのように管理していますか？ ログインIDとパスワードを使い回すのは非常に危険です。 IDとパスワードの流出事件をググると、山のように出てくる出てくる。 IDとパスワードを使いまわすことは絶対にやめてく...

ischool.co.jp

2017.09.02

SNSは2段階認証すべし！

どんな複雑なパスワードにしても、クラックされるリスクはありますから、SNSやウェブサービスを利用するなら2段階認証は絶対にやっておくべきです。

SNSが悪意を持った第三者に乗っ取られると、周りの友人にも被害が拡大していきます。まだ2段階認証をしてない方は是非やってくださいね。

2段階認証には、スマホ・SMSのどちらかを使います。紛失してしまうとログインすらできなくなってしまいますよね？

どのサービスも、2段階認証できない環境に備えて「バックアップコード」を用意しています。「バックアップコード」を使えばログインできるので、いざという時も安心です。

Facebookの2段階認証

Facebook自体、2段階認証には力を入れていて、「Facebookアプリのコードジェネレーター」「Google Authenticator」「SMS」など複数の方法で2段階認証できる仕様になっています。

Facebookで2段階認証を設定

今日はFacebookでの2段階認証のやり方を紹介します。Facebookの仕様はしょっちゅう変わりますが、最新の2段階認証の方法になります。 乗っ取りなどのセキュリティーに不安のある方は、2段階認証を設定するのが一番ですよ。 2段階認証と...

ischool.co.jp

2016.06.08

Instagramの2段階認証

Instagramは、SMSを使って2段階認証をします。「Google Authenticator」は使えませんのでご注意ください。

Instagramで2段階認証を設定する

ようやくInstagramで、全ユーザーが2段階認証を設定できる仕様になりました。 今までは、一部のユーザーだけしか2段階認証できなかったのです・・・ Instagramでは、アカウントの乗っ取りが多発していますので、2段階認証を設定するこ...

ischool.co.jp

2017.03.29

Twitterの2段階認証

「スマホのアプリで認証」「SMS」の方法で2段階認証が可能です。

Twitterで2段階認証を設定する！

今日はTwitterの2段階認証についてのエントリーです。 Twitterのアカウントを乗っ取られたくない方は、すぐにでも2段階認証を設定することをオススメします。 このブログの読者の方は、ネットリテラシーの高い方が多いので、Twitter...

ischool.co.jp

2016.06.10

Googleの2段階認証

「Google Authenticator」、「Googleからの電話でコードを受け取る」の方法があります。
「YubiKey」というハードウェアキーを購入して2段階認証を行うこともできます。

Googleで2段階認証を設定

Googleの2段階認証についてのエントリーを書きます。 Googleアカウントは、アカウントを1つ作るだけで、それに紐づくサービスが盛りだくさんです。 Gmail・Googleマップ・YouTube・Googleカレンダー・Googleド...

ischool.co.jp

2016.06.12

Appleの2段階認証

「iOSでコードを受け取る」「SMS」の方法が用意されています。

2段階認証できないAmazon・・主要サービスの2段階認証のまとめ

主要なプラットフォームで2段階認証がないのはAmazonだけってご存じですか？ ちなみに楽天も2段階認証は不可です。 ECサイトのAmazonと楽天が2段階認証できないのは正直どうなのって思いますよね？ 2017年2月23日追記　ようやく日...

ischool.co.jp

2015.11.13

Microsoftの2段階認証

「Google Authenticator」を使って2段階認証が設定できます。

Microsoftアカウントで2段階認証を設定する方法

Microsoftアカウントで2段階認証を設定する方法を紹介します。 GoogleやFacebook、Twitterと比べると、Microsoftの2段階認証の設定方法はマジで分かりにくい。もっと分かりやすい設定画面にすればいいのにね。 と...

ischool.co.jp

2018.05.21