パスワードを適切に管理して多発する不正アクセスからアカウントを守れ!

最近、ネットサービスのアカウント情報を盗み出したりする不正アクセス事件が相次いでいる。
OCN、NAVER、Yahoo! Japan、goo、Evernote、Twitterなど大手のサイトも多数被害に遭っており、もはやネットユーザーなら無関係ではいられない問題だ。

ネットサービスをあまり使っていないという人でも、Androidスマホを使っているならGoogleのアカウントは取得しているだろう。Googleのように多くの機能を提供するサービスのアカウントが乗っ取られると、様々な形で悪用されてしまう恐れがあるので、特に注意が必要だ。
連絡先やメールなどの情報を盗まれたり、ウィルスメールを送信させられるだけでなく、Web版Playストアの遠隔インストール機能を利用してスマホに有害アプリを送り込んで乗っ取られてしまうこともあるかも知れない。
また、他のサービスのアカウントの連絡先としてGmailのアドレスを設定していると、パスワードを忘れたときのための再設定の手続きを実行されて、それらのアカウントまで乗っ取られることも有り得る。

このような不正使用からアカウントを守るための注意点を、この記事で一挙に解説するので、ぜひ参考にして万全の防御態勢を整えよう。

OCN IDのサーバーへの不正アクセスについて | OCN

【NAVER】NAVER会員情報への不正アクセスに関するお知らせとパスワード変更のお願い

[不正アクセスに関して]Yahoo! JAPAN ID状況確認のお願い – Yahoo! JAPAN広報からのお知らせ

gooIDへの不正ログイン被害について(終報)- プレスリリース – goo

セキュリティ関連のお知らせ:Evernoteでのパスワード再設定のお願い | Evernote日本語版ブログ

Twitterブログ: より安全にご利用いただくために



パスワードは推測されにくい複雑なものにする


001

パスワードを覚えるのが大変だからと言って、単純なパスワードにしてしまうのは危険だ。ユーザー名と同じとか、「password」や「1234」などのよく使われる語句では、考えついたパスワードを片っ端から試す総当たり攻撃で簡単に不正ログインされてしまう恐れがある。
本名や家族の名前、誕生日などの情報を組み合わせたものも、身近な人間が何十回か試せば当てられてしまうだろう。
ランダムなパスワードでも、英数字4文字程度の長さでは、自動化ツールを使えば数分で突破できてしまう場合がある。
何度も連続して誤ったパスワードが入力された場合に一定時間ログインを禁止するなどの仕組みが存在すれば簡単には乗っ取られないはずだが、自動化ツールを使って数ヶ月がかりで何万回も試されたりしたら、突破されてしまう可能性はある。

このような総当たり攻撃による不正ログインを防ぐため、パスワードは十分に複雑で推測しにくいものにしよう。
大文字、小文字、数字、記号を織り交ぜ、英単語などを含まない複雑な物が望ましい。
キーボード上の位置を一つずらした文字に置き換えるなど、一定のルールで変換すれば、複雑でも覚えやすいパスワードを作ることが可能だ。ただし、これらの変換を加えた語句も試すように作られた不正ログインツールも存在するようなので、ありがちな単語を変換しただけでは十分とは言えない。複数の単語を繋げて変換するくらいの複雑は必要だろう。

アルファベットの単語の組み合わせでも、30文字を超えるほどの長さがあれば、十分破られにくくなる。好きな小説や歌詞の一節などなら、覚えるのも簡単だろう。

ネット上には入力したパスワードの強度を推定してくれるサイトが多数存在する。「How Secure Is My Password?」は、よく使われる語句なども警告してくれるなど、かなり多機能だ。

How Secure Is My Password?


パスワードの複雑さが制限されたサービスには要注意

サイトによっては、パスワードに長さの上限や使えない半角記号があったりすることもあるが、安全性が低下するので望ましくない。
このようなサイトは、開発者の技術や安全意識自体が不足していて、他の部分も安全でない作りになっているかも知れないので要注意だ。

特に、長さに上限があるのは、エントリのデータサイズが固定のデータベースにパスワードをそのまま保存しているのが原因の可能性があるので、30文字など十分な長さでも注意が必要だ。
パスワードがそのまま保存されていると、サーバの管理権限が乗っ取られたときに簡単に盗み出されてしまう。
1000文字など非常に長い上限の場合は、固定長のデータベースに保存している可能性は低いので、気にする必要は無いだろう。

また、酷いサービスになると、上限を超える長さのパスワードが入力されたときに勝手に切り詰めて保存してしまう場合もあるようだ。例えば、パスワードの16文字目以降が無視されるサービスで「android-smart.com=sumahodaisuki^^」のようなパスワードを設定しているとき「android-smart.com」の17文字だけを入力すると、16文字目までは一致するのでログインできてしまい、複雑にしたはずのパスワードが無駄になってしまう。
このような脆弱性を避けるため、長いパスワードを設定したときは、末尾に適当な文字を加えたパスワードでログインを試みて、ちゃんと不一致とみなされるか確認するといいだろう。


002

8文字までの貧弱なパスワードしか設定できないようなサービスには、重要な情報を預けるのは避けたいところだが、クレジットカード会社のオンラインサービスでも、このようなパスワードの文字数制限が行なわれている例があった。
三菱UFJニコスカードのWebサービス、パスワードを強制的に8桁に切り詰める | スラッシュドット・ジャパン セキュリティ


重要なサービスのパスワードには他とは違うパスワードを使おう


003

複雑なパスワードをいくつも覚えておくのが面倒だからと言って、複数のサービスで同じパスワードを使い回してしまうのも、危険なので避けた方がいい。
一つのサイトのパスワードが盗まれると、同じパスワードを使っている他のサービスまで乗っ取られてしまうかも知れないからだ。
最近起きたクラブニンテンドーや@niftyへの大量不正ログイン事件は、別のサービスで流出したID/パスワードを利用したものらしいと言われている。

ユーザー側がスパイウェアやフィッシング詐欺などによるパスワード盗難に注意していても、サーバ側のセキュリティが弱ければ、サーバ上に保存されたパスワードを根こそぎ盗まれてしまう可能性がある。
ある程度まともなサービスなら、生のパスワードは保存せず、一定の法則で復元不能にスクランブルした「ハッシュ」しか保存していないはずだが、ハッシュの一覧が盗まれれば、あらゆる文字の組み合わせからなる候補ワードを毎秒何万件もの速度でハッシュ化して照合し、ある程度簡単なパスワードなら実際のパスワードを復元されてしまう可能性がある。

細かなサイトまで全て別のパスワードにする必要は無いが、Googleのような大規模サイトや、ネット通販のように金銭を扱うサイトなど、重要なサイトだけでも他とは異なる堅牢なパスワードを設定しておこう。

不正なログインの発生について |ニュースリリース|ニフティ株式会社

「クラブニンテンドー」サイトへの不正ログイン発生のご報告とパスワード変更のお願い


パスワード再設定手続き用のメールアドレスのセキュリティにも注意


019

多くのサービスでは、パスワードを忘れてログインできなくなったときのための連絡用のメールアドレスを登録できる。再設定手続きのリンクをクリックすれば、設定しておいたアドレスにメールが送信され、メールに書かれたURLにアクセスすることでパスワードを再設定してログインできるようになるというものだ。
アカウントが使えなくなる事態を防ぐため、必ず登録しておきたいところだが、連絡先アドレスのセキュリティが脆弱だと、そちらを先に乗っ取ってパスワード再設定手続きを行なうことで、芋づる式にアカウントを乗っ取られてしまう恐れがあるので注意が必要だ。


パスワードを忘れたときのための質問は自分以外知り得ない題材に


005

パスワードを忘れたときにあらかじめ設定した質問の答えを入力することでログインできるシステムが用意されているサービスも多いが、パスワードより推測しやすいため不正利用の危険性が指摘されている。
「小学校の先生の名前」などの質問では、家族や同級生など多くの人が答えられてしまうし、最近ではSNSなどの情報を手がかりにして割り出せてしまうこともある。
「会員証の番号」など、他人に答えを知られる可能性の限りなく低い質問を選ぶようにしよう。
選択肢に安全な質問が用意されていない場合は、設定せずにおいた方がよいだろう。設定が必須の場合は、デタラメな内容を登録してしまえばいい。


絶対他人にパスワードを教えない(ショップでのアカウント設定は断る)


006

重要なサービスのパスワードは、家族など信頼できそうな人物であっても、絶対に教えないようにしよう。管理体制に不備があって流出させてしまうかも知れないし、そのうち仲が険悪になったりして悪用される可能性もある。

Googleカレンダーなどのサービスでは、アカウント同士で情報を共有する機能も充実しているので、パスワードを教えてアカウント自体を共有しなくても、大抵の用途では事足りるはずだ。

一部の携帯電話ショップでは、端末購入時の初期設定のためにGoogleのIDとパスワードを教えるよう求めてくる場合があるようだが、断った方がいいだろう。自分で入力するか、その場で適当な新規アカウントを登録してもらって後で自分で設定し直せばいい。


パスワード管理ツールを利用する


007

複雑なパスワードをいくつも覚えておくのは大変だ。しかし、普通のメモソフトや紙などに記録しておいては、盗み出される恐れがある。
そこで、パスワード管理アプリを利用しよう。様々なサービスのパスワードを登録してマスターパスワードで保護し、必要なときに素早く入力できるぞ。
FirefoxやChromeなどのブラウザにも、パスワードをマスターパスワードで保護する機能が搭載されているので、これらのブラウザをメインで使うなら利用してみてもいいだろう。

また、テキストの暗号化ツールを応用して、覚えやすい文字列とサイト名などから複雑なパスワードを生成するという手もある。これなら、インストールした端末を失ったりしても、別の端末に同じアプリをインストールして同じ手順を踏めば同じパスワードを生成できる。



2段階認証を利用する


008

Googleアカウントの設定で「2段階認証」を有効にすると、ユーザー名とパスワードの他に、メールなどで送られてくる毎回変わる番号の入力が必要になり、パスワード流出によるアカウント乗っ取りの危険性を減らせる。
自宅のパソコンなどのよく使う環境では次回からは確認コードなしでログインできるようにするオプションも用意されているので、実際にコードの入力が必要になる機会は多くはない。
外出先など安全かどうか分からないパソコンでログインする機会がある人などは、ぜひ利用を検討しよう。



パソコンのマルウェアに注意


009

ウィルスなどのマルウェア(有害プログラム)には、通信の傍受やキーボード操作の記録、ファイルの解析、偽のログイン画面の表示などの手口でパスワードを盗み出したり、ログインしたブラウザを自動操作してアカウントの機能を不正使用したりする物も存在する。
これらのマルウェアの被害に遭わないように、セキュリティソフトを導入したり、怪しいプログラムは実行しないように心掛けるなど、十分に対策を行なっておこう。
万が一マルウェアが検出された場合は、確実に除去した上で、利用しているサービスのパスワードを変更しておこう。


他人によるパソコンの不正操作にも注意


010

自分以外の人間が触れる場所にあるパソコンでは、ブラウザでアカウントにログインしたまま席を離れたりすると、勝手に操作されてしまう可能性があるので注意が必要だ。
家族や友人のメールを盗み見るくらいなら、立ち話を盗み聞きするくらいの感覚で大した罪悪感なしにやってしまう人もいるだろう。また、共用のパソコンでは、前のユーザーがログインしたままだったことに気付かずに機能にアクセスしてしまうこともあるかも知れない。

自分のパソコンならばパスワードなどによるロック、共用パソコンの場合は離席する前にログアウトするなど、勝手に操作されないように対策しておこう。

また、ネットカフェのパソコンや、大規模なオフィスの共用パソコンなど、不特定多数が利用するパソコンはマルウェアが仕込まれていたりする恐れもあるので、パスワードの入力自体を避けた方がいい。
二段階認証を利用すれば、パスワードを盗んだだけではアカウントを乗っ取れなくなり、このようなパソコンでも安心してログインできるぞ。


怪しいメールに書かれたURLはクリックしない


011

マルウェアと並んでパスワードを盗み取る手口として代表的なのが、オンラインサービスの運営元を装ったメールを送りつけてよく似たURLの偽サイトにアクセスさせ、パスワードなどを入力させる「フィッシング詐欺」と呼ばれる手口だ。
いつも使っているサービスからのメールが送られてきても、メールに書かれたリンクをクリックするのは避け、ブラウザのブックマークなどからアクセスしてログインするようにしよう。


Wi-Fiアクセスポイント使用時は盗聴に注意


012

Wi-Fiのアクセスポイントを設置して、通信内容の改竄や盗聴を行ない、パスワードを盗み出したりする手口も存在する。
誰が設置したかわからないアクセスポイントの利用を避けるべきなのは当然だが、通信会社が提供するアクセスポイントも、誰かが細工をしている可能性はあるので油断は禁物だ。

外出先のWi-Fiアクセスポイントを利用するときは、盗聴や改竄を防ぐ「HTTPS」による暗号化通信を採用しているサイト以外では、パスワードの入力などは行なわない方がいいだろう。
なお、Webブラウザとして「Firefox」を利用していれば、サーバの運営者の身元が十分に確認されている「EV-SSL証明書」を使っているサイトが色分け表示されるので、サイトの安全性を確認しやすいぞ。


怪しいアプリに直接パスワードを入力しない


013

Googleなどのサービスの機能を応用したアプリは数多く存在するが、中には入力されたパスワードを横流ししてアカウントを乗っ取る有害アプリもあるかも知れない。
最近の善良なアプリは、アプリに直接パスワードを入力せずに連携の許可を行なえる「OAuth」という方式を利用するのが一般的になってきているので、OAuthを使用せずアプリ上に直接パスワードを入力させてくるアプリには警戒した方がいいだろう。
Googleの場合、2段階認証を有効にすれば、偽アプリにパスワードを盗まれてもアカウントの乗っ取りを防げるぞ。



使わなくなった連携アプリは許可を取り消そう


014

サービスの機能を利用するアプリなどには、初めのうちは無害で実用的なものを装ってユーザーを集め、アップデートなどで後から不正な動作を追加するものもあるかも知れない。
使わなくなった連携アプリは、アカウントの設定で許可を取り消しておこう。Googleの場合、アカウント設定の「セキュリティ」→「接続済みのアプリケーションとサイト」の欄の「権限を編集」から、許可したアプリを一覧表示して、許可の取り消しを行なえるぞ。


流出の心配があるときはすぐにパスワードを変更しよう。


016

怪しいアプリにパスワードを入力してしまった場合など、パスワードを盗み出された恐れがある場合は、すぐにパスワードを変更しておこう。
一昔前だと、パスワードを変更したら連携アプリなどに保存した設定も変更しなければならなかったりして面倒だったが、最近のOAuthによる認証なら、アプリに対して発行された認証トークンはパスワードを変えた後も有効なので、変更すべき箇所は少なくて済むぞ。


「アカウント アクティビティ」で不正ログインがないかチェック


015

アカウント乗っ取り犯の中には、盗んだアカウントのパスワードを無断変更して本来のユーザーを閉め出したりせずに、ひっそりと不正利用している場合もある。
Googleでは、Gmailの画面の下の方の「アカウント アクティビティの詳細」のリンクなどからログインなどの操作の履歴を確認できるので、ときどきチェックして不正利用がないか確認しよう。
利用した覚えがない時間帯や、普段と違う場所からのアクセスがあった場合、不正アクセスの疑いがあるので、至急パスワードを変更しておこう。

関連記事

2013年08月01日07時57分 公開 | カテゴリー: セキュリティ | キーワード:, | Short URL
このエントリーをはてなブックマークに追加

最新記事