トップ » はるかのひとりごと » セキュリティ » 不正ログイン騒動について
2013年8月上旬になって、GREEやAmebaが相次いで
不正ログインについて公表しております。

まず、言葉の定義からですが
1.不正ログインと
2.サーバ攻撃による情報漏洩とは
別物です。

よく、ごっちゃにしている人が居ますが、
全く別物なので、分けて話をします。
広義には情報漏洩に変わりないのですが、2の場合
殆どがサイト運営者側の問題で、情報を漏洩している場合が多いです。
たとえば、顧客のエクセルファイルをサーバ上においていて
偶然見つけられたとか、
データーベースの脆弱性を利用して、当該レコードを一括取得するとか、
内部の犯行でデータベース自体をファイルで持ち出すとか
というようなものです。
こういった問題は、殆どそのサイトの運営者のミスや過失
不適切な運営、不適切なソフトウェアが原因で発生します。

yahoo

では、今回問題になっている1について深掘りしてみます。

不正ログインは、特定のサービスに対して、本人以外が
ID/PASSWORD、Mail Address/PASSWORDを
用いてログインする事を言います。

攻撃者がどうやって、PASSWORDを得るかという事ですが、
総当たり攻撃、辞書攻撃などが有名です。
英語で言うと、力でこじ開けるという意味の
ブルートフォースアタックとか
いいます。フォースは理力ではなく、強制という意味です。

昔は、ID自体も、総当り攻撃の対象でした。
たとえば、aaa→aab→aacというように本当の総当りです。
パスワードは、よく使われる語句「admin」「0123」等を
辞書に登録して高速で試行します。
もちろんパスワード文字数制限があれば、
その文字数以上を試行します。
このあたりの仕掛けは、各社が隠しているので、
私も余り書きません。
とにかく、無人ロボットで高速に試行して、
ログインを試みるというものです。

IDの入手は、簡単ですね。
yahoooやAmebaのように公開していれば
色々な方法で、取得できます。

一瞬で2200万IDとかGETできます。
http://pr.yahoo.co.jp/release/2013/0517a.html
これらの情報を使い、アタックを始めます。
(このうち148万件の暗号化パスワードが流出しました)
yahooは、解読できないと言っていますが、
解読できない暗号化ほど意味の無いものはなく、
必ず解読できます。

今回、注目すべくは、
Yahooや
http://pr.yahoo.co.jp/release/2013/0523a.html
gooなどで
http://pr.goo.ne.jp/detail/1703/
流出したIDやメールアドレスを、他のサービスで試行するというものです。

NAVER、じゃらん、ディノスなどが標的になりました。
どれも、日常で普通に使うサービスですよね。
そして、その中国からの不正アクセスは
ゲームにまで及びます。
gree
http://gree.jp/?mode=doc&act=announce&page=20130806
Ameba
http://ameblo.jp/staff/entry-11591175203.html

サービス会社が、総当り攻撃の対策や
ネットワークセンスを常時行っている事で、
ある程度は、防げると思いますが、
全く対策にならないでしょう。

不正ログインに対して、対策です。
対策するにはどうしたら良いか?
それは、
「ID/mailとpasswordを各サービスで別々にする」
という極めて基本的な行為によってなしえます。
もちろん、一つのサービスで複数のIDを所有している場合、
全ID毎にパスワードを変更します。

一番悪いのは、
自分は悪くない、周りが悪いんだ
と考える事です。
この考えに陥った瞬間に、思考が閉塞しています。
というのも、自分は悪くないので対策をしません。
対策をしないので、次から次へと同じ事を繰り返します。

こういった、報道があったら、
まず自分の使っているID/Pass、サービスは適切か?
など一度、自分を振り返ってみるのも良いと思います。
自分だけは、大丈夫!
という油断が、一番の命取りです。

中国からの不正攻撃は、正直こんなレベルではないのです。
たとえば、プロフィールに書いているペットの名前を
パスワードとして、試行するなど、当たり前の当たり前なのです。
ブログの文字列を全て検索して、出てくる名詞を
抽出し、パスワードになりそうな物を全部試行します。
冗談でしょ?
と思いますが、そこまでやられているのですよ。
気づかないだけで。

今回アメーバや他社の発表を見る限り
「ログインして情報を取得してログアウト」
しているのですね。
これは、何を意味するかというと、クラッキングされた人は
「気づかない」
のです。
そのくらい、巧妙で恐ろしい手法なのですね。
一度でもログインされたら、その人のISPから携帯まで
全てのサービスが試行されます。
ISPのメールサーバーに侵入し、サーバのメールを消さず、
未読のママ、メールを読まれている可能性もあります。
私でも、全く気づかないでしょう。

そう、すでにあなたのIDはクラッキング済みかもしれないのです。

あと、携帯ですね。
スマホのデータは、取り放題ですから
スマホからの漏洩も、最近は増えていると思います。
何が悪いか?
アプリですよ。
そのアプリ、本当に大丈夫ですか?

「無料で遊べる」といって、
実は、友達のメールアドレスを全て差し出していませんか?
表向きには、全くそんな事はでてきませんよ。
スパム用のスマホアプリは、
バックグラウンドで、常にメールなど個人情報を
吸い上げ続け、サーバーにそれを蓄積しています。

得たいの知れないストアに掲載されたアプリを、
躊躇無く入れる感性は、大問題なのです。

一度、まわりを見直してみる事をおすすめします。
(今回メールが来た人は特に・・・どんなのか見てみたいですw)

この記事は 2020年05月28日05時49分 に更新

コメント一覧

コメントする

Gravatarに登録してログインすると自分専用のアバターを表示できます。

コメントを残す





鈴木はるかのプロフィール画像
(Haruka Suzuki)
仕事:金融システムのSE
好きな物:スイーツ、絶景
趣味:お菓子/アニメ/多趣味

人気の高い記事

  1. 食戟のソーマゆきひら流進化形のり弁を再現
  2. ゆきひら流シャリアピンステーキ丼
  3. 食戟のソーマゆきひら流 鶏卵の天ぷら丼を再現
  4. 食戟のソーマ5話のさわらおにぎり茶漬け
  5. 葬送のフリーレン 馬鹿みたいにでかいハンバーグを再現
  6. ゆきひら流タラのお柿揚げ
  7. アニ菓子とは
  8. 時限式・生意気小僧風 原始肉(マンガ肉) ゆきひら・真を再現
  9. 食戟のソーマ16話のりんごのリゾットを再現
  10. 食戟のソーマ13話ゆきひら流スフレオムレツ
  11. 家電はなぜ壊れるのか?専門家が回答してみた
  12. 食戟のソーマ 胡椒餅(フージャオピン)を再現
  13. ゆきひら流ビーフシチュー秋の選抜スペシャルを再現
  14. 食戟のソーマ 熊肉のメンチカツを再現
  15. 食戟のソーマ ゆきひら流焦がし蕎麦の再現
  16. うずらの詰め物リゾットと卵 生意気小僧風 を再現
  17. 食戟のソーマ 時限式麻婆カレー麺の再現
  18. 北海道講座印のスペシャル豪雪うどんを再現
  19. はるかのミルクキャラメル
  20. すみれ印の唐揚げロールを再現してみた
  21. ハウルのベーコンエッグを再現
  22. 食戟のソーマ さつま地鶏の手羽先餃子を再現
  23. 食戟のソーマ 鹿もも肉の炭火焼き栗のソースを再現
  24. 食戟のソーマ あんきもなかを再現
  25. 食戟のソーマ チーズフォンデュロースカツ定食を再現
  26. くまみこ第8話で登場した「水かけごはん」
    くまみこ8話の水かけごはんを再現
  27. Airのどろり濃厚ピーチ味を再現
  28. 食戟のソーマ第4話の鯖バーグ
  29. ゆきひら流 香ばしバターピラフ稲荷寿司を再現
  30. ゆきひら謹製カレーリゾットオムライス

月別の過去記事を見る

最近投稿されたコメント

  1. はるか (2023年12月08日)
    羽田野さんご指摘、感謝です。言い訳ですが、冷たい空気も東進しているのでそれを表現していました。おっしゃるとおり、誤解を生む可能性がありますの…
  2. 羽田野 (2023年12月07日)
    水滴が出来る際の雲の自活現象ですね。分かりやすいです。寒冷前線、冷気の傾きが、逆のようです。
  3. はるか (2023年10月26日)
    こんばんは、リンゴとバナナというのがよく分かりませんが、アニメで葉山さんが答えたのは「クミン、カルダモン、グローブ、マンゴーチャツネ」という…
  4. 匿名 (2023年10月25日)
    8年前の投稿にですがアニメでりんごとバナナをすりおろしたとリゾットの匂いを嗅いだ葉山が答えていたのですが、このリゾットは加えてないのでしょう…
  5. はるか (2023年07月02日)
    えっささん、こんにちは。画像を出典のURLを掲載していただき、私の画像が副次的(えっささんのブログ記事が主)になっていれば、問題ありません。…
  6. えっさ (2023年07月02日)
    鈴木はるかさんこんにちはエッサといいますマンモス肉 愉しく拝見しました お願いがあります 小生blog花のしもべ日誌 (ameblo.jp)…
  7. (2023年04月11日)
    はるか様、こんにちはペコリ(o_ _)o))すみません。echoの後のipv4とipv6は、はるか様の記述通りですね。申し訳ありませんでした…
  8. (2023年04月10日)
    こんにちは(^-^)はるか様。丁寧に教えてくださりありがとうございます。(o*。_。)oペコッ>noindexは結構重要ですね。最近で…
  9. はるか (2023年04月10日)
    こんにちは。noindexは結構重要ですね。最近では、テーマでデフォルト実装されているので、わすれつつある中身ですが・・・下部のセッションの…
  10. (2023年04月09日)
    はるか様、はじめまして(o*。_。)oペコッ。こちらの記事、とても参考になりましたありがとうございます。それとは別なのですが・・・、フッター…