パスワードの不正利用は「攻撃」「感染」「詐欺」「心理」が原因
ちょっとだけ気にすることで、多くのものが守られるものです。仕方ない・・・場合もありますが、ほとんどは何か出来ることがあるのです。
「 ID とパスワードを適切に管理しましょう〜 サイフと同じく大切に! 〜:IPA情報処理推進機構
オンラインサービスで利用する ID とパスワードは、それを悪用しようとしている者に常に狙われていることを意識し、適切に管理しましょう。
(1) 不正利用された原因
報道事例や IPA への相談事例で確認されている、オンラインサービスを不正利用されたケースにおいて、その原因として推測されるものは次のとおりです。
- 単純なパスワードを設定していたため、悪意ある者に推測されたり、総当り攻撃により破られた。
- ウイルス感染により、ID とパスワードを盗まれた。
- フィッシング詐欺(※1)に引っ掛かり、ID とパスワードを盗まれた。
- ソーシャルエンジニアリング(※2)により、ID とパスワードを盗まれた。
図1-1:ID とパスワードを盗まれるイメージ図
このように、様々な原因が考えられますが、多くは自分自身が注意することで防ぐことができます。以降の項目を確認し、ID とパスワードを適切に管理してください。
※1フィッシング(phishing):巧妙な文面のメールなどを用い、実在する企業(金融機関、信販会社、ネットオークション等)のWebサイトを装った偽のサイトにユーザを誘導し、情報(パスワードなど)を盗みとる不正行為。
※2ソーシャルエンジニアリング(social engineering):ネットワーク技術やコンピュータ技術を用いずに、人間心理や社会の盲点を突いて、情報(パスワードなど)を入手する方法。
いろいろな原因がありますが、IPAが分類した4つから書いてみます。
「攻撃」
総当たり攻撃の場合、安易なパスワードだと突破されてしまいます。
2006年の記事:
安易なパスワードのトップ10発表
- 123
- password
- liverpool(イングランドの人気サッカーチーム)
- letmein(「入れてくれ」——現代版「開けゴマ」)
- 123456
- qwerty(キーボード左上のキー配列)
- charlie(英国でよくある人名)
- monkey(理由不明)
- arsenal(イングランドの人気サッカーチーム)
- thomas(もう1つよくある人名)
- 「123456」
- 「12345」
- 「123456789」
- 「Password」
- 「iloveyou」
- 「princess」
- 「rockyou」
- 「1234567」
- 「12345678」
- 「abc123」
ほとんど変わってないように見えます(笑) IDとパスワードが同じものや、同じに近いもの(IDに1とか付けたパスワード)など・・・そんなもの誰が使っているんだぁ?と、思われるでしょうが、あります。
さすがにネットのサービスだと、IDとパスワードを入れない限り使えないので、とりあえず入れているって程度なものが多くあります。
PCのログインにパスワードすら付けてないケースもありますし・・・これらのパスワードは、家の玄関鍵と同じです。玄関にキーボードがあったら、そんな安易なものを使用しますか?ってことです。
「感染」
ウィルスに感染して洩れるケースだと、ウィルス対策ソフトをしっかりと利用し、常に最新状態に保っておく!これしか方法はありません。最近もページを見ただけで感染するものが猛威を振るっています。
これら対策がされていないのは問題外ですが、対策がされているのに、守られていないことが多くあります。手動で止めているなど。。。確かに常駐することで動作にもたつきは出てきますが、安全とトレードオフです。
日常においても、絶対ということはないのですが、ここで絶対に間違わないことが1つあります。ワクチン(更新ファイル)より先にウィルスはない。ことです。それでも、これしか方法はありません。
「詐欺」
フィッシングなど、ニセのサイトに誘導されてしまうケースです。アマゾンだったり、クレジットカード会社だったり、決済の絡むものに似せて作られたサイトで、入力してしまうケースです。最近だとアマゾンから購入確認のメールが届くフィッシング詐欺
がありました。唯一確認できるのは、URLのアドレスを確認するなどになります。
フィッシングサイトを見分けるテストがあります。全問正解しましたが、なかなか難しかったです。これは是非試してください。どんな場所を確認すればいいかが、よくわかる優れものです。常に大丈夫か?と見ることが必要です。(健康のため疑いすぎに注意しましょう!(爆)
「心理」
フィッシングやウィルスなどと複合される場合もあります。すべての条件が整った時に、何ら疑いのない状況でことは進んでいきます。ソーシャルエンジニアリングと言われます。
しつこい電話の撃退法には、セキュリティの基本も含まれていた(笑)
Macにウィルス対策が必要になっても、人をダマす古典的方法は変わっていない
この騙す手法は、もっとも古典的なものです。オレオレ詐欺と変わりません。が、ちょっとでもインターネットやPCが使われると、途端に難しい・・・と、なってしまうようですが、単に直接電話があるか、メールで届くかの違いだけです。
いきなり、パスワードは何か?と聞かれれば、警戒するものですが、会話の中やメールなどでパスワードを聞かれる場面に遭遇したら、一呼吸してから「これを教えてもいい相手なのだろうか?」と疑問を持って下さい。「全部仕組まれた状態で疑う余地がない」こともありますが、それを狙ってくるのが相手の手口です。一方的なオレオレも同じですよね。
それでもわからなければ、誰かに相談するとか、電話ならかけ直すなど、1つ置いて行動して下さい。
パスワード関連:
パスワードは英文字記号で8文字以上!って、だ・か・ら・・・どうすればいいの?
Hotmail の流出アカウントは安易なパスワードが原因?思い出す質問も要チェック!
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。