企業がやっちゃう情報漏洩でビクビクしないために

/ ソウタロウ

ちょいと前にgmailのパスワードが流出が報道されていた。
本当かどうかわからないし、身近に被害があったとか聞かないのでクリティカルな漏洩じゃなかったみたいだ。

でも、いつか自分のパスワードが本当に漏洩したときのためにやらなければないこと、
やっちゃだけなことがある。

まずやらなきゃならないこと

二段階認証

これは全員がやったほうがいい。

googleの場合は、ログインしたときにショートメールや携帯のメールアドレスに一回限りのパスワードが送られてくる。
これを入力しなければログインできない。

パスワードを知っていることと、予め登録していた携帯端末を持っていることがログインに必要になる。
もしパスワードを知られてしまっても、ログインされることはない。

Googleの場合はこちらで説明がある。

https://support.google.com/accounts/answer/185839?hl=ja

ほかにも、EverNoteやYahooメール(Yahoojapanの方)などにもこの機能がある。
いちいちめんどくさいけれども、安全のためには必要なことだ。

もうやるべきことはもうこれだけで十分。
あとは携帯端末を紛失しないとか、携帯端末の予備(家の電話)などの登録をしっかりしておけば
もしものときも安心だ

また、ログインアラートの設定もしておけば
ログイン時にお知らせが行くので、ログインされてしまったときでも通知が行くので安心だ。

やっちゃだめなこと

つぎはやっちゃだめなこと。
大体楽をしたい気持ちや、ルーティンワークでついついやってしまいがちなことだけれども
大切なことだから、心に留め置いててほしい

パスワード使い回し

どのサービスも同じパスワードを使いまわしてはならない。
たとえそれが32桁でとても覚えられないものであっても、やってはならない。

GoogleとかYahooとかだと強固なセキュリティが施されているし、もしサーバーの内部データ盗まれてもパスワードは暗号化されて保管されているので悪用される可能性は低い。

しかし、中には適当管理のサービスもある。
本来ならばサーバー内のパスワードは暗号化して保管されなければならない。
この機能の実現もすぐに実現可能だし、複雑なものでもない。
でも、それをしない。そもそも知らない。そういうような酷い会社がいっぱいある。

そういうところからパスワードと登録メールアドレスが流出した場合、攻撃者はそのメアドとパスワードで他の有名サービスのログインを試みる。
同じパスワードを使っていたらログインできてしまう。

どのパスワードもそれだけに使わなければならない。

弱いパスワード

流石に1234とかpasswordのようなアカラサマにわかりやすいパスワードを使う人はいないかもしれない。
IDとパスワードが同じという人ももういないだろう。
そもそもそれで登録させるサービスももうない。

でも、それらの条件をクリアしても意味のある単語を組み合わせたり使ったものはダメ。
そういうのは辞書攻撃により開けられてしまうかもしれない。
辞書攻撃とはよく使われるパスワードの一覧をもとにログインを試みる攻撃だ。

それ以外にも理由はある。
意味のある単語は他のユーザーとかぶる可能性がある。
ある会社から単純な暗号化を施しているパスワード情報が漏洩した。
弱い暗号化のため、パスワードがかぶったユーザーと暗号化されたデータが一致してしまった。
そこをヒントに本来のパスワードが類推される。

本来ならばこれは会社がそれを見越して安全にしなければならない。
これも本当に簡単に実装できるのに、それをしない会社はいっぱいある。
だから、漏洩してしまったときにバレてしまう可能性があるので
絶対にパスワードは無意味な英数字の羅列にしなければならない

 

無警戒にログインしない

おそらく、一番パスワード盗まれるケースで多いのがこれ、
フィッシングサイトだと思う。

巧妙に似せたログインページに誘導して、ログインをさせる。
メールやメッセージでURLを送ってくる。

ログイン後は、ニセのログイン失敗画面とかに移動させるが、時すでに遅し
攻撃者のデータベースにあなたのパスワードは記録させられた。

これを防ぐには日頃から、ログインページのURLをよく見ることが必要だ。

まず普通ログインページは安全なページになっている。
httpsで始まるURLになっていることで確認できる。

Twitterで例をだすが、このようにブラウザのURLバーに鍵マークが付いているのもその安全なページだ。

sc0518

この安全なページを作るには証明書が必要だが、それは認証局という企業から結構な金額(年数十万単位)を払って買っている。
認証局は証明書がほしいと言っている会社の実在を調べたりして、安全性を高めている。
適当に自ら名乗りを上げて証明書を作ることはできない。
※一応できるけれどブラウザが警告を出す。

だから、偽サイトを作るアウトロー企業には難しいわけだ。
とくに鍵マークの横に企業名が出ているタイプの証明書は審査を経ないと手に入れることができない信頼性の高いマークだ。(EVSSLという)
これが出ていれば安心、ほんもののログインページだと確認できる。

企業名が出ないタイプでも、鍵があればだいたい安心
YahooJapanとかはEVSSLではないけれども、鍵は付いているので認証を受けていることがわかる。

一方、鍵マークのないログインページ。httpsではなくhttpではじまるログインページは怪しい。

次にURLを見よう。

URLの中の twitter.com の部分がドメインだ。
これを企業は買うわけだ。

ドメインはサブドメインというものを作ることができる。例えば support.twitter.com
これもtwitter.comの一つだ。

でも twitter.comの文字が少しでも違った場合は全く別物。
comがorgになってたり、netになってたり、twitterのスペルが違っていたりするものは完全に別物だ。
偽物だ。

そういうログインページは絶対に入力してはならない。

ログイン時はいつもURLを見る癖をつけよう。
心配ならば正しい入り口から自分でログインページに行くようにしよう。

スポンサードリンク

関連コンテンツ