はるかのひとりごと > セキュリティ > 不正ログイン対策について
はい、こんにちは。
はるかです。

最近間違った情報が出回っていますので
ここで専門家から、正しいアドバイスをしたいと思います。

不正ログインされた人
computer_crime

パスワードの付け方については、

パスワードの付け方

も一度読んで頂けると嬉しいです。

最近、長いパスワードや英数字を組み合わせた
難しいパスワードを推奨している事があります。

本当に正しい情報でしょうか?

最初に言います、長いパスワードや複雑な
パスワードは、確かにセキュリティ的にみても
効果があります。

でもそれは、セキュリティ管理をしっかりしている
人が利用して、初めて意味のある行為なのです。
逆に言うと、セキュリティ管理がダメで一度でも
「クラックされている可能性がある」という
「メールを受け取った人」は、世界中にメアドと
パスが出回っている訳で、そんな人は
パスワードを100桁にしてもクラックされます。

乗っ取りされたという人は
被害者でありながら、立派な加害者だというのは
このサイトで何度も指摘している事です。
そんな人に
「他サイトでで同じメールアドレスやパスワードを
使い回ししてないか?」
という質問をすると、口を揃えて
「していない」
と言います。
私は、理系人間なのでこの言葉を
とても信じる事ができません。

それでは、面白くないので、
言っている事を信じて、
シミュレーションしてみます。
パスワードを使い回ししていないなら、
cracker(hacker)はどうやって、
メールアドレス、パスワードを
入手したのでしょうか?
あ、メールアドレスはちょっと違うので
パスワードだけで想定してみましょう。

考えらえるのは、以下の3つに限られます。

1.総当たりでたどり着いた
2.想定された
3.その他

では、1の確率をみてみましょう。
確率は単純な数列です。
1桁あたり、何通りの数があるかまた、
桁数が分かれば、総当たりでヒットする確率を
割り出すことができます。

ここで一般的に脆弱と言われている6桁の
パスワードがあったとします。

アルファベットの大文字と小文字、数字を使えるとしたら
一桁で表現できる数字は
26(大文字)+26(小文字)+10(数字)=62通り
となります。

62通りが6桁ですから
62の6乗をすれば、6桁パスワードの
総数が分かります。
結果は、568億通りの表現が可能です。

どこで得た知識かしりませんが、
6桁パスワードは、数秒でcrackできる
というのです。
はぁ?
こういう主語の無い言葉に騙されるのは
非常に危険です。

例えば、アメーバに6桁のパスワードが
設定されていて、それを568億回試行するのに
何年掛かると思っているのでしょうか?

良いでしょう。試算しましょうね。
ホストの応答時間が通信込みで2秒とします。
一日10回でブルートフォースアタックと判別する
機能がついていたとして、一つのIPで
24時間で10回しか試行できません。
1年で3600回試行できますね。568億で
何年かかるでしょうかw

次に、ちょっとばかりネットワークの知識があって
IPアドレスを複数個払い出しできるプロバイダを
契約していたとしましょう。
まぁ、同じ地区で200個が限界でしょうね。
もっといけるかもですが、とりあえず
ひとつのサブネットという制限あるという前提にします。
それでも、さっきの数字に200を掛けるだけ。
ですので、一日に試行できる回数は、
2000回ですね。1年で73万回試行できます。
568億というのは一番最後に見つかった想定ですから
ヒット率0.5以下の200億で発見できるとしましょう。
それでも27397年です。
さらに、匿名プロクシで偽装したとします。
それでも、2万年が200年になる程度です。
どれだけ、途方もないか分かりますね。
ちなみに、
crackerは、そんなに暇ではありませんw
もっと効率の良いクラッキングをします。

話を少しだけ、戻します。
私はアメーバでの、オンラインクラックに
ついて書きました。
先ほどの例文を利用して、別の主語が付いていたとします。
6桁のzipパスワードが掛かった
暗号ファイルがあったとします。
これは、どの程度でクラックできるでしょうか。
今のCPUやHDD性能からすると数分でクラックされるでしょうね。

何から探してきたか分からない人が
最速のCPU速度のみの計算で
数秒でクラックできるとか
言っているのですね。

私たちは、yahooとか楽天とかアメーバを
使っているのですから、現実的な
話をしましょう。

さて、6桁のパスワードがどれだけ強固か
ご理解頂けたと思います。
(私は決して6桁で良いと言っている訳では無い)

そうしたら最初まで戻します。

2.想定された

私の中では、かなりこの確率は高いと思います。
私のリンクを見てもらえれば、中国人が
ペットの名前や彼氏やブログの固有名詞で
アタックしていると書いています。
結構、当たるんですよねwwwww

3.その他

いや~、嘘とかツールとか、
フィッシングメールに引っかかったとか、
そんなのでしょうね。
まぁ、分からない物は調べようが無いです。

結論的にいうと、
・他のサイトと使い回していない
・想定されやすいパスワードを使っていない
などと自分が「正しい」事を必死で訴えている人は
先ほどの568億の確率から
hackerが引き当てて来たんだという論理になります。
私の言う事と568億を偶然引き当てたと主張する人と
どちらの言葉に信憑性があるでしょうか?

それでは、私なりの確認チャートを作ってみました。
やってみてください^^

はるかのパスワードチェック

1.あなたは、他のサイトとメールアドレス・IDの
  使い回しをしていますか?
YES→10
NO→2

2.あなたのパスワードは、第三者が想定されやすい
  固有名詞などを使っていますか?
YES→11
NO→3

3.あなたはログイン画面をブックマークに
登録したりして、それ以外からログインしないように
していますか?
例えば、アメーバなら、別のツールでログインしたり
ブログ巡回のツールを使ってみたり
ブログバックアップのツールを使ってみたり
不正なチートツールを使ってみたり
したことはりませんか?
YES→12
NO→4

4.あなたは、過去にウィルス感染したことがありますか?
YES→13
NO→5

5.あなたのメールボックスに、スパムメールが来ますか?
  スパム対策メールでも解除したら来ればYES
YES→14
NO→6

6.素晴らしいです。
 もし、あなたが嘘をついて居ないのなら
友達が居ないか、よほどセキュリティに精通していると
想定できます。
あなたであれば6文字のパスワードでも大丈夫ですが
文字数を増やすことで、さらなる強化も可能ですし
定期的に変更もしているでしょうから、
これからもその意識を続けてください。

10.あなたは、まずパスワードの長さや
セキュリティに関心を持つより、する事があります。
他のサイトとIDやメールアドレスを共有するという事は
一つのサイトからサイト側の不注意で漏洩したら
それが、全世界にリストとして売り出されます。
そうすると、直ぐにすべての個人情報が漏洩し
その後何を対策しても筒抜けになるような
土管まで据え付けられます。
サイト毎にIDなどを変更することを
強く勧めます。パスワードの長さを長くしても
「絶対に」(余り使わないですw)クラックされます。

11.自分で想定しにくいと思っているのかも
しれません。ですが、固有名詞であるだけで
その人と何かの関連があるのです。
私の経験上、プロフィールやブログに登場する固有名詞を
手当たり次第入力すると、結構な確率であたるんですね。
今は、大丈夫かもしれませんが、そのうち
食らう可能性があります。ですので、もし固有名詞を
使っている場合は、60日程度でパスワードを
変えましょう。そうすれば、ある程度被害に遭わなくて
済みます。

12.メールのリンクからログインしたり
ツールを使ってログインすると
パスワードがハッキングされます。
どんなに長くて複雑なパスワードでも
関係ありません。100%盗めます。
例えばリプレのメールなどが良く来ますが、
嘘のサイトへ誘導するような、
偽メールと偽サイトを使えば、
結構簡単に収集できそうです。
メールは、HTTPで受信ではなく、
テキストで受信できるようにしましょう。
HTTPしかないようなサービスであれば
利用しないか、ログインはそのメールからは
絶対にしないようにしましょう。
(予めブックマークなどに入れておく:私はこの方法)

13.ウィルス感染するということは、
行動そのものが、既に脆弱になっています。
どんな理由があっても、感染したという事実が
あれば、自分自身はセキュリティ管理が出来ない
人間なんだと強く思うようにして下さい。
ウィルスを仕掛ける方が悪い・・・確かにその通りです。
ですが、イジメなどと違いウイルス感染は、
感染した途端、加害者となるのです。
自分が、社会に害をなす行為をしている事を
もう少し自覚を持つようにしましょう。
原因を特定するなどの行為を行うのは、
非常に良いことです。
ですが、セキュリティに脆弱な人は
往往にして「言い訳」の論理が破綻しています。
まず、セキュリティ対策ソフトを導入して
常に最新版にアップデートしましょう。
パスワードの長さを12文字や100文字にしても
感染したら一瞬で全てのデータを持って行かれます。
また、登録している友達のメールアドレスも
crackerに差し出す事になります。
一度感染して、それから注意するようになった人は
再発するかしないかに別れます。
もう一度いいます。再発する人としない人は違います。
再発する人はほんと、思考を変革するしかありません。
再発しない人は人は、かなり良い経験をしたと思います。
酷い目にあったのでしょうけど、充分怖さが
理解できています。他の項目も読んでがんばってください。

14.私は、YESです。スパムは防げませんね。
IDとして利用しているメールアドレスを
専用のメールアドレスとしている人がいます。
その場合、他のサイトと共有もしないですから、
完璧なセキュリティが保てます。
スゴイなあと思います。私なんかよりも
セキュリティ意識が高い人たちは確実に存在します。
そこまでになれとはいいませんが、
スパムが来るということは、そのアドレスが
「全世界に公開」されているんだという認識を
持つことが大切です。
アドレスは簡単に売買されますから、一度
スパムが来たら、そのアドレスは
もうオシマイです。ですので、スパムが来たら
あとはパスワードを試行されないように
対策するしかないのです。

まとめ

長くて複雑なパスワードで効果があるのは
セキュリティ管理のしっかりしている人のみです。

乗っ取りされたとか、他サイトとID・PASSを
使い回している人や、
メールをクリックしてログインしたり、
ツールからログインしたり、
アメーバから、警告が来るような
セキュリティに脆弱な人は、
どんなに長くて複雑なパスワードにしても
意味がありません。
根本原因を追求して対策をしなければ
何度も同じ事をします。
ええ12桁にしても、また必ず漏洩します。
必ずです。

専門家が至るところで、啓蒙していますので
どうかデマや間違った対策に振り回されないように
してください。

<追記>

大規模サイト側にお願いしたいこと

・ブルートフォースアタックの対策を必須とする
→かなり導入してきましたね。手動で限界があるのは当たり前

・ログイン履歴の収集及び異例アクセス検知システム導入
→漏洩したyahooが先陣を切りましたが、漏洩したgooが
 追従している程度です。異例検知は銀行などでは当たり前
 ですが、パッケージの値段が高いのが進まないわけですね。
 過去に漏洩した諸悪の根源アメーバとか必須だと思います。
 (↑まだ入ってないよw)

・海外からのアクセスを一律禁止
→大多数の利用者が日本人なのに、海外在住者のために
 大多数を危険にさらすとか、もはやセキュリティ意識が
 全く無いです。私が言っているのはデフォルトで禁止で
 あって「設定」で許可できるようにすれば良いだけ。
 費用は上2つに比べると掛からないのに導入が進まない
 のは何か陰謀があるのかと疑ってしまいます。

以上3つは、私が大昔から口を酸っぱくして
言っている事です。銀行はかなり導入が進んでいます。
(ですので、MUFGのフィッシングのような方法しか無い)
お願いですから法整備をして、「原則導入」を推進ねがいます。
(概ね、個人情報(5000件以上のサーバ)を
扱っているサイトのみで良い)

ではでは。
おやすみです。

コメント一覧

コメントする

Gravatarに登録してログインすると自分専用のアバターを表示できます。

コメントを残す





鈴木はるかのプロフィール画像
(Haruka Suzuki)
仕事:金融システムのSE
好きな物:スイーツ、絶景
趣味:お菓子/アニメ/多趣味

月別の記事を見る