サイバー攻撃に備える – パスワード管理

最近、サイバー攻撃として、メディアを賑わしている手法がある。

  • リスト型攻撃(リスト型アカウントハッキングとも言う)による不正ログイン
  • マン・イン・ザ・ブラウザによる銀行口座からの不正送金
  • 標的型攻撃による国家機密、個人情報などの漏洩  等々

標的型攻撃は、政府、官公庁などの公的な組織、民間企業をターゲットとしているものの、他のどれもが、我々一人一人の個人的な活動の中で、攻撃に遭遇し、直接的な金銭的被害を被る恐れがある。

でも、数年前は、システムの停止や混乱を目的とした、愉快犯と言うと言い過ぎだろうが、腕試し的なハッキング活動の方が多かったと思う。

ウィルスも、2000年に流行った「LOVELETTER」もしくは「I LOVE YOU」として知られるメールウィルスは、当時、世界中で4,500万台が感染したという。被害内容は、Outlookのアドレス帳に登録されたメールアドレスすべてに、自動的に自分の複製を送りつけ、特定の拡張子のファイルをハードディスクの中から探し出し、自分の複製を上書きすることで破壊したという。<参考: http://ja.wikipedia.org/wiki/LOVELETTER>

21世紀に入り、金銭的目的のサイバー攻撃が増えた。それに加え、最近では、ハクティビストと言い、社会的や政治的な目的のためにハッキング活動をするような攻撃も増えている。ハクティビストとしてはAnonymousと呼ばれる集団が有名である。

さて、本題に戻ろう。自分のPCがウィルスに感染しないようにするためには、アンチウィルスソフトで対策をして、かつ、怪しいメールの添付ファイルは開かないということでほぼ防ぐことができる。でも、それだけでは、攻撃への備えは十分ではない。

今年の6月に、ニコニコ動画やmixiへの不正ログインの問題が報道された。これは、リスト型アカウントハッキングまたはリスト型攻撃といって、他のサイト等から不正に入手したID(メールアドレス)とパスワードのリストを使って、攻撃者がニコニコ動画やmixiへ不正にログインを試みた。ログインができてしまうと、自分の登録情報(名前、住所、性別、生年月日、クレジットカード情報など)が閲覧され、それをもとに、なりすまし、金銭の盗難などの被害に遭ったり、新たな攻撃の対象になったりすることが考えられる。ニコニコ動画の場合、ポイントの不正使用という被害が実際に報告されている。

不正ログインの被害に遭わないためには、パスワードの使いまわしをしないことが鉄則と言える。これは、何年も前から言われていることである。(←なのに、ほとんどの人は使いまわししているのではないだろうか。)

普通の人が覚えられるパスワードの数は3つとか4つ、せいぜい、5つくらいまでと言われている。自分自身、覚えようと思えば、覚えられるのだろうけど、実際には、たぶん3つを使いまわしている。そして、「これはどのパスワードだっけ?」と忘れることもよくある。そして、重要なサイト(金銭がからむ、とか、仕事で重要、とか)については、パスワードをメモっている。

そして、今年の始めから、某社のパスワード管理をするソフトウェアをPCにインストールしている。登録したサイトのIDとパスワードを記憶しておいてくれて、各ブラウザにプラグインが入っていると、代理入力してくれるというソフトウェアである。便利は便利だが、もっと素晴らしいソリューションはないだろうか!?と日々、考えている。と言うのは、セキュリティレベルが上がっていると思えないから。だって、結局パスワード変更しないから。

企業向けであれば、弊社で取り扱っている、i-Sprint社のAccessMatrix USOであれば、社内で利用する各アプリケーションのIDとパスワードをデータベースに安全な形で記録し、そのアプリケーションを起動すると、USOクライアントと言うソフトウェアが検知し、自動的にIDとパスワードを代理入力する。また、パスワード変更画面にも対応しており、現在のパスワードが自動で代理入力されるから、新しいパスワードだけ入力すれば良く、かつ、この新しいパスワードもUSOが覚えていてくれる。そして、USO経由でログインしたログが残るから、誰がどのアプリケーションを利用したか簡単に確認できるようになる。

とは言っても、AccessMatrix USOを使うには、AccessMatrixu USOにログインする必要があり、この最初のログインのIDとパスワードは厳重に管理するとか、二要素認証を導入するとかの工夫は必要だろう。

最後に、パスワード管理だけではサイバー攻撃に備えることはできない。ただ、個人ユーザーとしても、企業ユーザーとしても、比較的簡単に実施することができるという意味では是非対応すべきだと思う。私自身も、パスワード管理ソフトを使って満足するだけでなく、パスワードメモ帳の整理・管理に加え、各サイトで同じパスワードを使わないことと、定期的なパスワードの変更を実施しようと思う。

<参考> 2014年版 情報セキュリティ10大脅威(IPA)

  1. 標的型メールを用いた組織へのスパイ・諜報活動
  2. 不正ログイン・不正利用
  3. ウェブサイトの改ざん
  4. ウェブサービスからのユーザー情報の漏洩
  5. オンラインバンキングからの不正送金
  6. 悪意あるスマートフォンアプリ
  7. SNSへの軽率な情報公開
  8. 紛失や設定不備による情報漏えい
  9. ウィルスを使った詐欺・恐喝
  10. サービス妨害

 

コメントを残す