トップ » はるかのひとりごと » セキュリティ » 不正ログイン騒動について
2013年8月上旬になって、GREEやAmebaが相次いで
不正ログインについて公表しております。

まず、言葉の定義からですが
1.不正ログインと
2.サーバ攻撃による情報漏洩とは
別物です。

よく、ごっちゃにしている人が居ますが、
全く別物なので、分けて話をします。
広義には情報漏洩に変わりないのですが、2の場合
殆どがサイト運営者側の問題で、情報を漏洩している場合が多いです。
たとえば、顧客のエクセルファイルをサーバ上においていて
偶然見つけられたとか、
データーベースの脆弱性を利用して、当該レコードを一括取得するとか、
内部の犯行でデータベース自体をファイルで持ち出すとか
というようなものです。
こういった問題は、殆どそのサイトの運営者のミスや過失
不適切な運営、不適切なソフトウェアが原因で発生します。

yahoo

では、今回問題になっている1について深掘りしてみます。

不正ログインは、特定のサービスに対して、本人以外が
ID/PASSWORD、Mail Address/PASSWORDを
用いてログインする事を言います。

攻撃者がどうやって、PASSWORDを得るかという事ですが、
総当たり攻撃、辞書攻撃などが有名です。
英語で言うと、力でこじ開けるという意味の
ブルートフォースアタックとか
いいます。フォースは理力ではなく、強制という意味です。

昔は、ID自体も、総当り攻撃の対象でした。
たとえば、aaa→aab→aacというように本当の総当りです。
パスワードは、よく使われる語句「admin」「0123」等を
辞書に登録して高速で試行します。
もちろんパスワード文字数制限があれば、
その文字数以上を試行します。
このあたりの仕掛けは、各社が隠しているので、
私も余り書きません。
とにかく、無人ロボットで高速に試行して、
ログインを試みるというものです。

IDの入手は、簡単ですね。
yahoooやAmebaのように公開していれば
色々な方法で、取得できます。

一瞬で2200万IDとかGETできます。
http://pr.yahoo.co.jp/release/2013/0517a.html
これらの情報を使い、アタックを始めます。
(このうち148万件の暗号化パスワードが流出しました)
yahooは、解読できないと言っていますが、
解読できない暗号化ほど意味の無いものはなく、
必ず解読できます。

今回、注目すべくは、
Yahooや
http://pr.yahoo.co.jp/release/2013/0523a.html
gooなどで
http://pr.goo.ne.jp/detail/1703/
流出したIDやメールアドレスを、他のサービスで試行するというものです。

NAVER、じゃらん、ディノスなどが標的になりました。
どれも、日常で普通に使うサービスですよね。
そして、その中国からの不正アクセスは
ゲームにまで及びます。
gree
http://gree.jp/?mode=doc&act=announce&page=20130806
Ameba
http://ameblo.jp/staff/entry-11591175203.html

サービス会社が、総当り攻撃の対策や
ネットワークセンスを常時行っている事で、
ある程度は、防げると思いますが、
全く対策にならないでしょう。

不正ログインに対して、対策です。
対策するにはどうしたら良いか?
それは、
「ID/mailとpasswordを各サービスで別々にする」
という極めて基本的な行為によってなしえます。
もちろん、一つのサービスで複数のIDを所有している場合、
全ID毎にパスワードを変更します。

一番悪いのは、
自分は悪くない、周りが悪いんだ
と考える事です。
この考えに陥った瞬間に、思考が閉塞しています。
というのも、自分は悪くないので対策をしません。
対策をしないので、次から次へと同じ事を繰り返します。

こういった、報道があったら、
まず自分の使っているID/Pass、サービスは適切か?
など一度、自分を振り返ってみるのも良いと思います。
自分だけは、大丈夫!
という油断が、一番の命取りです。

中国からの不正攻撃は、正直こんなレベルではないのです。
たとえば、プロフィールに書いているペットの名前を
パスワードとして、試行するなど、当たり前の当たり前なのです。
ブログの文字列を全て検索して、出てくる名詞を
抽出し、パスワードになりそうな物を全部試行します。
冗談でしょ?
と思いますが、そこまでやられているのですよ。
気づかないだけで。

今回アメーバや他社の発表を見る限り
「ログインして情報を取得してログアウト」
しているのですね。
これは、何を意味するかというと、クラッキングされた人は
「気づかない」
のです。
そのくらい、巧妙で恐ろしい手法なのですね。
一度でもログインされたら、その人のISPから携帯まで
全てのサービスが試行されます。
ISPのメールサーバーに侵入し、サーバのメールを消さず、
未読のママ、メールを読まれている可能性もあります。
私でも、全く気づかないでしょう。

そう、すでにあなたのIDはクラッキング済みかもしれないのです。

あと、携帯ですね。
スマホのデータは、取り放題ですから
スマホからの漏洩も、最近は増えていると思います。
何が悪いか?
アプリですよ。
そのアプリ、本当に大丈夫ですか?

「無料で遊べる」といって、
実は、友達のメールアドレスを全て差し出していませんか?
表向きには、全くそんな事はでてきませんよ。
スパム用のスマホアプリは、
バックグラウンドで、常にメールなど個人情報を
吸い上げ続け、サーバーにそれを蓄積しています。

得たいの知れないストアに掲載されたアプリを、
躊躇無く入れる感性は、大問題なのです。

一度、まわりを見直してみる事をおすすめします。
(今回メールが来た人は特に・・・どんなのか見てみたいですw)

この記事は 2020年05月28日05時49分 に更新

コメント一覧

コメントする

Gravatarに登録してログインすると自分専用のアバターを表示できます。

コメントを残す





鈴木はるかのプロフィール画像
(Haruka Suzuki)
仕事:金融システムのSE
好きな物:スイーツ、絶景
趣味:お菓子/アニメ/多趣味

人気の高い記事

  1. 食戟のソーマゆきひら流進化形のり弁を再現
  2. 葬送のフリーレン 馬鹿みたいにでかいハンバーグを再現
  3. ゆきひら流シャリアピンステーキ丼
  4. 食戟のソーマゆきひら流 鶏卵の天ぷら丼を再現
  5. 食戟のソーマ5話のさわらおにぎり茶漬け
  6. ゆきひら流タラのお柿揚げ
  7. アニ菓子とは
  8. 食戟のソーマ16話のりんごのリゾットを再現
  9. 時限式・生意気小僧風 原始肉(マンガ肉) ゆきひら・真を再現
  10. 家電はなぜ壊れるのか?専門家が回答してみた
  11. ゆきひら流ビーフシチュー秋の選抜スペシャルを再現
  12. 食戟のソーマ 胡椒餅(フージャオピン)を再現
  13. 食戟のソーマ13話ゆきひら流スフレオムレツ
  14. 食戟のソーマ 熊肉のメンチカツを再現
  15. 食戟のソーマ ゆきひら流焦がし蕎麦の再現
  16. うずらの詰め物リゾットと卵 生意気小僧風 を再現
  17. 食戟のソーマ 時限式麻婆カレー麺の再現
  18. 北海道講座印のスペシャル豪雪うどんを再現
  19. すみれ印の唐揚げロールを再現してみた
  20. はるかのミルクキャラメル
  21. 食戟のソーマ さつま地鶏の手羽先餃子を再現
  22. ハウルのベーコンエッグを再現
  23. 食戟のソーマ 鹿もも肉の炭火焼き栗のソースを再現
  24. くまみこ第8話で登場した「水かけごはん」
    くまみこ8話の水かけごはんを再現
  25. 食戟のソーマ あんきもなかを再現
  26. 食戟のソーマ第4話の鯖バーグ
  27. Airのどろり濃厚ピーチ味を再現
  28. 食戟のソーマ チーズフォンデュロースカツ定食を再現
  29. NVIDIAの環境で動画を再生すると画面が真っ黒になる
  30. 少女終末旅行 イモのレーションを再現

月別の過去記事を見る

最近投稿されたコメント

  1. はるか (2024年10月08日)
    さばねこさん、こんにちは。解釈で感動したと思ってくれてありがとうございます。私はBD購入で最初に聞いたときから、ほむらとまどかの境界だと思っ…
  2. さばねこ (2024年09月15日)
    ♪「届かないほど 近くて遠い」>円環の理になってしまった、まどかとの距離・・・>のようにも読めますが、それだと今までの流れを壊す…
  3. Y (2024年08月18日)
    美味しそうです!食べてみたい!
  4. はるか (2024年08月15日)
    アルギン酸ナトリウムは、日本医薬品添加剤協会の実験などで各種検査をされていますが、有害性の報告はありません。よって私のレシピにこだわる事無く…
  5. Cocoa (2024年08月15日)
    度々すみませんあとアルギン酸ナトリウムは2グラム入れて滴下しても丸い形状にならず薄い膜みたいなものになってしまうのですが2グラム以上入れても…
  6. はるか (2024年08月14日)
    cocoaさんこんにちは。水滴の表面が固まるのは、化学反応なので溶液の濃度に依存します。のり溶液側に反応を阻害するミネラル類が多い場合、反応…
  7. cocoa (2024年08月14日)
    食感もゼリーみたいな食感で、いくらのようなプチンと言う食感は無いのですがナトリウムの入れすぎとかですかね策があれば教えていただきたいです
  8. はるか (2024年08月12日)
    Cocooaさんこんにちは。アルギニン酸ナトリウムは別のもの(どこで買ったか不明)ですが、乳酸カルシウムはリッチパウダーのものです。
  9. Cocoa (2024年08月11日)
    はるかさんこんにちはアルギン酸ナトリウム、乳酸カルシウムはリッチパウダーのやつですか?
  10. はるか (2023年12月08日)
    羽田野さんご指摘、感謝です。言い訳ですが、冷たい空気も東進しているのでそれを表現していました。おっしゃるとおり、誤解を生む可能性がありますの…