2019/01/21 新倉茂彦 情報セキュリティブログ

パスワード流出確認方法と改善策、そして今後の再発防止策など自身で出来る事のまとめ

最近パスワードネタばかりですみません。でも結構大事なことなのです。

今回の7億3000万件、組合せだと11億6000万件の流出は史上最大らしいです。以前にももっと多いのがあったような気もしますが、記録を追い掛けている訳じゃないので、どっちでもいいです。

7億7300万件の流出情報、闇フォーラムで流通 平文パスワードも出回る:ITmediaエンタープライズ

このフォルダ内のデータは1万2000本以上のファイルに保存されており、データ容量は計87GB超。ファイルに記載されたメールアドレスとパスワードの組み合わせは11億6000万件を超えていた。

ブログを書く動機は自身で気になることがあった時です。何度も自分のパス流出の確認していますが、毎回イヤな感じです。

まずは、

1.流出状況の確認 2.その改善策です。流出後にできることはこのくらいしかありません。そして、3.今後の再発防止!と言いたいとこですが実際は無理です。どこかで使っているパスが勝手に漏れるのは自身では防げません。なので限られた中で出来る漏れたときの早期復旧や他のサービスなど二次被害防止策を作っておくことです。

1.パスワードの流出状況確認

今回はHave I Been Pwned(HIBP)で漏洩確認が出来るようです。またFacebook情報漏洩で再度浮上したパスワード付きの脅迫メールの対処方法で書いたFirefox Monitorも合わせて使ってみるといいです。重複していますが、漏れパスの漏れを無くすには複数で確認です。

実際に何度も使っていますが、こういうニュースの度に改めて調べ、前回確認時に変更したパスワード等を「パスワード管理ツール」で確認して、今日のチェックした日付を残しておくのですが、毎回イヤな感じがします。

Firefox Monitorは登録しておけば、その後に流出したデータがあった時、通知機能がありますので活用すると便利です。

2.流出しているIDとパスの組合せを変更

流出してれば、パスを変更しなくてはなりません。例えば、AというサイトのIDとパスの組合せが漏れた場合、

 A:もうそんなサイトは使わないから放置

 B:とりあえずパスだけ変更

 C:ここで使っていたパスを使い回していた別なサイトのパスも変更

こんな選択肢と思います。

AとBは後回しで、Cから書きます。IDとパスの組合せは、Aのサイトに限らず同じものが別なサイトでも使えたりするものです。何故かって、自身が一番わかっているはずw 大体IDはメールアドレス、パスは覚えられないから使い回し…結構多いですよ。

実は一番問題なのは、Aのサイトはもちろんですが、それ以外に使い回していたサイトのほうを忘れがちです。

とりあえず、Aのパスを直ぐに変更!(今まで使ってない初物)その後に使い回していたサービスも変更となるのですが、大体パスを使い回していると、Web上の全サービスが対象のようなことになっていることがあります(そんな人を多く知っている)

AとBの対策については、それがどれ程意味がないかがわかったはずです。

3.再発時の早期復旧には事前の準備が大切

どのサイト(サービス)でどんなパスを使っていたのかを答えられるならば、その特殊能力は相当役に立つはずだし、儲けられそうな匂いがしますw それはテレビに出てくる天才○○のような方々で、私を含め皆さんも違うはずw

だから「パスワード管理ツール」を使って、IDとパスを管理し、パスも覚えなくてもいいような(とても覚えられない)ものを自動で作ってもらう。これは慣れると便利ですよ。スマホで管理出来るものや、フリーのものまで色々あるので、いくつか使ってみて決めればいいです。

こういう事前の準備をしていれば、再発時もパスワード管理ツールでパスワードを検索すれば、同じものもすぐ見つかるし、IDやパスの重複なども確認できます。いつでも来い!とまでは言いませんが、こういう準備してない限り、対応出来ないと思います。もちろん、こういうことをしているので今回も一瞬イヤな感じはしましたが、僅か数分で問題ないことの確認が出来ました。安心です。

個人的な感想としては、漏洩していたパスは随分古いものだなぁ…という感じです。自分の分しかわかりませんが… サンプルは自分だけなので何ともですが、1で確認したパスが「現在も使っているもの」ならば、相当被害は拡大しているとも考えられます。

※管理ツールのパスは記憶するしかないので、「パスワード」カテゴリーの投稿も参考に作って下さい。方法さえわかれば、20文字くらいのパスも簡単に作れ忘れません。

何かニュースになることや、自身が巻き込まれる事態にならないと「中々改善しようと思わない」ものです。ネットのサービスを一切使わないという誓いが無理ならば、自身で守るしかありません。これ機会にホントやってみましょう。

何をどこからどのようにすれば?との質問が多くあります

リモートワーク担当者支援パック

急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。

従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)

労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。

しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。
詳細はこちらへ
カテゴリー
情報セキュリティブログ