サムネイル.png

  • ITガジェット

ポイントを不正利用されるかも!?IDとパスワード乗っ取りに遭わないための対策法

ウイルスバスター@トレンドマイクロ

ライター:ウイルスバスター@トレンドマイクロ

ウイルスバスターで知られるセキュリティの会社トレンドマイクロでmineoさんと一緒にモバイルセキュリティの普及に日々邁進しています。

  • はてなブックマークに追加

皆さん、こんにちは。ウイルスバスター@トレンドマイクロです。
昨今、様々なアプリやWEBサービスが登場していますが、サービス毎にアカウントを作成して利用する場合がほとんどです。管理も煩雑となり、パスワードを使いまわしてしまっている方も多いのではないでしょうか。
そのような行為は、サイバー攻撃者によるアカウント乗っ取りの機会を与えかねない、とても危険な行為です。
第5回となる今回は、アカウント乗っ取りの手口とその対策について解説したいと思います。

ショッピングやネットバンキングなど、ネットサービスの認証に用いるIDとパスワード(アカウント情報)を破られ、お金や情報を盗み取られる被害が後を絶ちません。様々なサイトで使用するIDとパスワードの管理をついおろそかにしている利用者は多いのではないでしょうか。サイバー犯罪者がアカウントの乗っ取りに用いる手口を知り、有効な対策を理解しましょう。

アカウント管理をおろそかにしていませんか?

●アカウントリスト攻撃
これは、IDとパスワードの組み合わせのリストを攻撃者が何らかの方法で手に入れ、このリストを使って複数のサービスにログインを試みる攻撃手法です。複数のサービスで同一のIDとパスワードを使い回しているユーザは、一組のIDとパスワードで複数のサイトでアカウントを不正利用されてしまうことになります。不正アクセス事例の多くがアカウントリスト攻撃によるものとされており、今一番注意が必要な攻撃です。

●辞書攻撃/総当たり攻撃
アカウント乗っ取りの手法としては、辞書に載っている英単語やパスワードによく使われる単語を登録したリストを準備し、それらを1つのIDに対して順番に試していく辞書攻撃もあります。また、プログラムによってパスワードに使用できる文字種の組み合わせを片っ端から試していく総当たり攻撃もあります。一般的な辞書に載っている単語や、短く単純な文字列をパスワードに設定していると、この攻撃によるアカウントの乗っ取り被害に遭うリスクを高めてしまいます。

図:インターネットで公開されている辞書ファイルに記載された攻撃用パスワードの例

●キーロガー
アカウントの乗っ取りには、キーボードで入力された情報を外部に送信するキーロガーと呼ばれるウイルスが用いられることもあります。サイバー犯罪者はキーロガーによって収集したキー入力情報を解析することで、標的のIDとパスワードを割り出すのです。たとえば、迷惑メールの添付ファイルを開いたことがきっかけで、キーロガーに感染してしまうことがあります。キーロガーはネットカフェなどの不特定多数が利用するパソコンに仕込まれやすいため注意しましょう。

図:パスワード入力をキーロガーで読み取った例
(左側の被害者がネットバンキングのサイトで入力した内容が、右側の攻撃者の端末に表示される様子)

●フィッシング詐欺
フィッシング詐欺は、実在する通販サイトや銀行、クレジットカード会社などの正規のログインページを装う偽サイトへ誘導し、そこで入力させたIDとパスワードなどをだまし取る手口です。サイバー犯罪者は、実在する配送業者を装う不在通知メールや、著名なサービスで使われるアカウントのパスワード再設定を促す文面のメールを送りつけ、そこからフィッシングサイトへ誘い込むことがあります。SNSでも、不特定多数の相手に友人のふりなどをして、アカウント乗っ取りを仕掛けるフィッシングに要注意です。

4つの対策でアカウントを安全に管理しよう

アルファベットの大文字、小文字、数字、記号など、使用できる文字種をランダムに組み合わせ、第三者に限りなく破られにくいパスワードを設定しましょう。

参考:第三者に推測されにくいパスワードを作成しよう


パスワード作成方法の例
1.自分が好きな日本語のフレーズ(単語ではなく文章)を1つ決めます。
例:「空は青い」

2.文頭を大文字にしてローマ字に変換します。
例:「Sorahaaoi」

3.区切り位置にあなたの個人情報と無関係の数字や特殊文字を入れます。
例:友人の誕生日(7月22日)と「!!」を挿入「Sora7ha2aoi2!!」

【2. 複数のサービスで同一のID/パスワードを使い回さない】
アカウントリスト攻撃の標的にならないよう、必ずサービスごとに異なるIDとパスワードを設定しましょう。複雑なパスワードを複数管理できない場合には、パスワード管理ツールをお勧めします。トレンドマイクロが提供するパスワード管理ツール「パスワードマネージャー」は、マスターパスワードを1つ覚えるだけで利用するサイトに対して複雑なパスワードをそれぞれ設定したうえで、自動でログインを行うことができます。

【3. IDとパスワードの入力を求めるメールには詐欺の可能性をうたがう】
フィッシングメールでは、「セキュリティの懸念があるためアカウントを停止する」や、「今すぐ対応しないとアカウントを失効する」など、利用者を不安にさせて急ぎの対応をせまり、判断力を鈍らせようとする手口がよく用いられます。アカウント情報の入力を求めるメールが届いたら詐欺の可能性を疑い、不安があれば、メールへの返信ではなく送信元の事業者のホームページから電話番号や問い合わせ先を調べて確認を行いましょう。

【4. IDとパスワードを入力するサイトではアドレスバーを確認する】
IDとパスワードによる認証を求める通販サイトなどでは、第三者による通信の読み取りを防いでくれるSSLに対応していることを確認することが基本です。SSL対応のWebサイトではアドレスバーに表示されるURLが「https://」で始まり、「鍵マーク」が表示されます。

参考:情報入力時はアドレスバーでSSL証明書を確認


サービスのアカウントを乗っ取られ、お金や情報を奪われてしまう被害は決して他人事ではありません。パスワード管理の不便さを解消し、安全に管理してくれるツールなども活用しながら、安心してネットを利用できる環境を整えましょう。


第5回目となる今回は、「IDとパスワード乗っ取りに遭わないための対策法」をご紹介しました。
多種多様のアプリやWEBサービスが登場し、日常生活が便利になった反面、アカウント・パスワード管理に細心の注意を払わなければ、不正にアカウントが乗っ取られるリスクがある事も忘れてはいけません。
被害にあわない為にも、今回ご紹介したポイントを意識して実施頂ければと思います。

トレンドマイクロis702のご紹介

そのほかセキュリティに関して、一般利用者の方向けのセキュリティ情報サイト「トレンドマイクロis702」というものがあり、スマホに限らずインターネットを安全に楽しむための情報をニュースや漫画も交え、一般の方に分かりやすくお伝えしております。ぜひ、その他の記事もご覧になってみてください。

トレンドマイクロis702はこちら

ウイルスバスター@トレンドマイクロ

ライター:ウイルスバスター@トレンドマイクロ

ウイルスバスターで知られるセキュリティの会社トレンドマイクロでmineoさんと一緒にモバイルセキュリティの普及に日々邁進しています。

Banner mineo site 320x50

Banner support site 320x50


コメント 17

最近では、パスワード管理アプリもありますので、パスワード作成に悩んだ場合は、これに頼るのもアリですね。

昨年の天然パーマ様のスタッフブログ
https://king.mineo.jp/magazines/special/783
で紹介されている「1Password」は、Appleショップの店員 全員が使うように指導されているようです。
モノは間違いないですが、マイネ王の投稿の際に「送信する」をタップしても反応がないことがあります...σ(^_^;)
あと、月額課金制なので、これが嫌だ!という方は別のものを探したほうがいいですね。

これは、ID・パスワードの管理で注意すべき点や、ID・パスワードを促すメールを見たら詐欺の可能性を疑い、事業者のホームページを確認する事が簡潔に書かれている点が良いと思いました。(^^

トレンドマイクロは信用できないので関わらないようにしています

https: で始まることも大事ですが、そのアドレスが目的のサイトのものに間違いないかも確かめないと不安です。
サイトを運営する業者の方も、ページを移動するだけなのに異なるドメインをたらい回しするようなデザインは避けて欲しいと思います。

僕も楽天のクレジットカード不正利用されたことあるんだ。その時の楽天の対応は酷すぎたよ。だから絶対に楽天グループは一切利用しないと決めたんだ🎵

パスワードをあまり複雑にしたり新たに作ると、忘れてしまう可能性もあるし、かと言って設定したパスワードをメモしておくのも危険だと思うので、管理が難しいですね。

とりあえず普段気をつけているのは、よほど通信容量に余裕がないとき以外は、鍵のかかっていないフリーWiFiには繋がない事や、鍵のかかっていないWiFiに繋ぐとしても絶対にそこでIDやパスワードの入力が必要なページへはアクセスしない事ですかね。

以前にここで紹介されていた「1Password」も、それ自体からパスワードが外部に漏れないかが怖くて、インストールはしたものの、結局まだ一度も立ち上げていない有様です(⌒-⌒; )

5331417C-BF13-4FB3-9DDF-4509357DE1CB.jpeg

それぞれ変えて、しかも定期的に
変更とか、記憶で管理するのは
もうムリですネ〜( ´△`)

パスクリップというアプリ、
アナログ感が性に合ってます(´∀`*)

4マスなんですが、
自動入力とかではナイので、
勝手にもう1マス増やしたり!?(*゚▽゚)ノ
(そこは記憶でネ。)

今はSMS等での2段階認証+バックアップコードが主流で、パスワードを廃止して、SMS認証のみの場合もあるので、パスワードとIDを盗んでもログインは難しくなっているはずです。もちろん、サイトの対応によりますが。
Googleの場合は、セキュリティキーを使った物理的認証にも対応しています。

今パスワードとIDは85あります。
管理は大変です。
ただ、過去に何度かIDとパスワードが破られたことがありました。
破られたパスワードは英単語で7文字以下。
破られたパスワードは以前使用していたが破られたときは使っていなかったID.パスワードがほとんどだったので昔の携帯でインストールしID.パスワードを削除するか削除が無理ならアプリをアンインストールして終了させていました。
破られることが前提で使うだけ。
定期的にパスワードを変更も大切かな。

トレンドマイクロは前科がいっぱいありますから、記事内容を精査しておかないと心配です。

>パスワード作成方法の例
>1.自分が好きな日本語のフレーズ(単語ではなく文章)を1つ決めます。
>2.文頭を大文字にしてローマ字に変換します。
>3.区切り位置にあなたの個人情報と無関係の数字や特殊文字を入れます。

これでどれだけ複雑なパスワードが作れるか、エントロピー (複雑さ) の面で検証しましょう。
例文は「空」「は」「青い」の3に分けられます。よく使われる日本語の語彙数は1万語(13ビット)で、それが2つに助詞 (2ビット) 1つですから、28ビットぐらいと思われます。
日付の数字を足しても365通り (8ビット)、記号を1つ足しても1ビット増えるだけです。
合計で37ビット。オンラインサービスのパスワードは48ビット程度必要と言われていますから、これでは足りません。例文が短かすぎました……。
「我輩は猫である。名前はまだない」ぐらいの文章ですと、4単語3助詞と考えて56ビット。数字を足して60ビット。オンラインサービスでは使える範囲です。

よりよいのはランダムに選んだ単語3語を繋げることです。
https://twitter.com/HiromitsuTakagi/status/978648962449129473
| 私の推奨は「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」
| (オフライン攻撃想定の「暗号の鍵」の場合は5つの語を選んでつなぐ)という提案。

最近の広辞苑は5万語どころか7万語オーバーですので、6.5万語つまり16ビットあると考えて3語で48ビットになります。重要なのは「ランダムに選ぶ」ことです。これによって複雑さが担保されます。

ミディさん
>定期的にパスワードを変更も大切かな。

近年では無意味と言われています。例えば、90日に1回変更するルールですと、1年で4回変更します。つまり1年あたり2ビット複雑さが増えるだけです。むしろ1文字増やした方がよっぽど強くなります。
今回のトレンドマイクロ記事では「パスワードの定期変更」を謳っていませんので、それは評価できますね。

続き。
>【2. 複数のサービスで同一のID/パスワードを使い回さない】

パスワード管理ツールを使うのはよい習慣ですね。自社ツールを宣伝するのは許容範囲ですが、macOSやiOSではOS標準の「キーチェーン」で十分だと思います。

>【3. IDとパスワードの入力を求めるメールには詐欺の可能性をうたがう】

「ほぼ詐欺と疑って構いません」ぐらいの口調でもよいと思います。パスワード流出やアカウント乗っ取りされた場合は、普通はパスワードリセットの手続きを踏ませることが多く、使用中のパスワードを入力させることはまずありませんよね。

中級者なら「ToやCcに他人のアドレスがいっぱい入っているのは変」という気付き方もあるでしょうが、本記事ではそこまで求めなくていいでしょうね。

>【4. IDとパスワードを入力するサイトではアドレスバーを確認する】

アドレスバーの確認をさせることはよいことですね。ただし、SSLの鍵マークがあれば安心ということはありません。近年は詐欺サイトでもSSLで構築されることがあります。
このため、アドレスバーのドメイン部分が正規のドメインかどうかを確認することが必要です。例えば、mineoのサイトなら、最初のスラッシュの直前が「mineo.jp」であるかどうかです。
https://king.mineo.jp/
はOKです。他の部分にmineo.jpがあっても意味がありませんので、
https://mineo.jp.example.com/
だとダメなわけです。

他には、mineo.??? のようなオプテージ以外の第三者が取得したドメインを使っていれば「本物ではない」と判断できます。ただし悪意があるドメインかどうかは分かりません。
例えば、mineo.com は実在しますが、取得者がオプテージと関係あるのか、どういう目的で取得したのかは不明です (峰夫さんが取得したのかもしれない)。

パスワードは高度なのを作っても覚えられないって、、、
「日本 たろう」さんなら
Nippon Taro—>NppnTr
なんて母音抜き
実家の電話番号つけたり
使われ難いアルファベットのxyzや記号-_/^*;:を使ってみたり
まだ覚えられるけどね
どうしてもみんな同じパスワードを繰り返し使ってしまう。
変更すれば良いのに変えると次にログインできなくて「?なんだっけ?」ってならない?
困ったもんだ!!

上の方でも何人か書いてますがトレンドマイクロは信用できません。mineoでこんな記事があるのは非常に残念です。

ほんと、パスワードの管理が煩雑です。
誰かパスワードに代わる画期的なもの考えてください。<<他力本願(;´Д`)

すべて異なるパスワードにしています

皆さんのコメントも含めて大変勉強になります。

指紋10本分ランダム認証にすればよろしいですがな!

コメントするには、ログインまたはメンバー登録(無料)が必要です。