ラボ

セキュリティ

HOME > Labo > 情報漏えいのニュースを見たら何する?

情報漏えいのニュースを見たら何する?

登録日:2019-02-02

情報漏えい?ふ~ん。

毎日のように流れる情報漏えいのニュースですが、「あぁ、またか!」くらいにしか思ってない方が実際とっても多いですね。

どこかで情報が漏えいしたら、自分にとって何がどう危ないのかが分かってない方がまだまだ多いからなんだろうと思います。

そして、時々運の悪い人が被害に遭うのも事実。
宝くじには当たりたいですが、コレは当たりたくないですよ。

今回は情報漏えいのニュースは「何が危ないのか」「どうしたらよいのか」を、私なりに説明します。

尚、ここではサイバー犯罪をする輩を「ハッカー」と表現しています。
本当はクラッカーなんですが、言葉の認知度からハッカーの方が分かりやすいため。

漏れた情報によりリスクは異ります。

情報漏えいのニュースをよく見ると、どのような情報が漏れたかによってリスクが違ってきます。

(1) IDやメールアドレス、パスワードといったアカウント情報

(2) 名前や住所、電話番号等の個人情報

(3) クレジットカード番号

(4) 購入履歴等の個人の活動に伴う情報

(5) 顧客情報、業務に関する機密情報等

 

ざっと思いつくところ上記のような情報がありますが、中でもできるだけ急いで確認したいものとして、(1)のIDまたはメールアドレスとパスワードの情報(アカウント)が漏れた場合を説明していきます。

 

アカウントが漏れるとどうなる?

例えば、あなたが何をやっても捕まらない前提で、ヤフーのID、パスワードの情報を100人分持っていたとしたら、どんな悪いことが想像できますか?

 

そのIDとパスワードで片っ端からヤフーにログインしてみて、クレジットカードが登録してあるユーザーを見つけ出し、Yahoo!ショッピングで欲しかったダイワのリールを・・・なんて絶対いけませんね!

 

他にも、ログインしたユーザーに成りすますことができてしまうので、誰とどんなメールのやり取りをしていたかを盗み見ることもできます。

そして、そこから得た情報を使って、より巧妙な詐欺のカモにしてしまおうとか・・・おお!怖い!

 

さらに「パスワードなんてどうせ使いまわししてるだろうから、ヤフーのメールアドレスとパスワードを使ってアマゾンにログインしてみよう!ウキキ!」となれば、さらに被害は広がる可能性がありますね。

 

このようにどこかで入手したID、パスワードのリストを使って、不正にアクセスすることを「パスワードリスト攻撃」と言います。

 

つまり、情報漏えいのリスクは犯罪者の数と技量と想像力の分だけあるわけですので、アカウントが漏れたニュースが流れたら、早急にパスワードの変更を行うことが重要なのです。

 

 

ここいらで一度、しっかりパスワードを把握しよう!

私もWEB屋を長いことやってますが、パスワードをきちんと管理している人は本当に少ないと思います。

・パスワードはいつもの!

・ブラウザが記憶してるので、パスワードが何だったか覚えてないわ。

・どのサイトの会員登録をしているかなんて知らん。

という人はめちゃんこ多いのではないでしょうか。

とりあえず一度、半日ほど時間を作ってパスワードの整理を行ってみてください。

 

サイト名とIDとパスワードを書き出す

まず、超面倒ですが利用しているサイトのID/PASSを全て書き出してみましょう。
紙でもいいし、エクセルでもいいですが、エクセルの場合は万が一のためにパスワードで保護するなどの用心が必要です。

 

いろいろ考えましたが、紙が手っ取り早いでしょう。

ってことで、ウチのオカンでも使いやすい用紙を準備しました。

 

 

ここからダウンロードしてください。(PDF)

 

まずは、このPDFを数枚プリントアウトしてください。

(時間が経った後でもすぐに用紙がわかるようイラスト付にしました)

後は用紙にある通り、「サイト名」「URL(アドレス)」「ID」「PASS」を記入していくだけです。

登録してある情報は、個人情報が漏れた場合にどの情報が漏れたかを把握するためのものです。

 

最低限、サイト名、ID、PASSは記入してください。

 

ブラウザが記憶しているのでパスワードが分からん

という声が聞こえてきましたので、ブラウザが記憶しているパスワードの確認方法をお伝えします。

 

Internet Explorer の場合

右上のギヤのような(ツール)アイコンをクリックします。

 

 

次に、「インターネットオプション」を開き、「コンテンツ」の「オートコンプリート」を選択します。

 

 

次に、「パスワードの管理」をクリックすると、ホームページのアドレスとログインIDが対になったリストが表示されますので、確認したいアドレスのボタンを開きます。

 

すると、その詳細情報が開きパスワードの欄が表示されます。(上)

「表示」をクリックすると、念のためでしょうパスワードを聞いてきます。

 

 

パソコンを起動する際のパスワードを入力してOKすれば、先程の「*****」の部分にパスワードが表示されます。

ちょっと手間ですが、これで一気に記入作業が進むと思います。

 

Google Chromeの場合

グーグルクロームも同様に右上の  をクリックし、展開した小窓から「設定」をクリックします。

(表示されているIDは架空のものです。)

 

次に、開いた画面から「パスワード」をクリック(下)。

 

 

サイト名とIDと「*****」で隠されたパスワードのリストがズラッと出ます。

 

 

リストにあるマークをクリックすると、該当のパスワードが表示されます。

 

iPhoneの場合

iPhone(Safari)の場合はホーム画面にある「設定」から操作します。

(表示されているIDは架空のものです。)

 

 

先述のブラウザと同様にサイトとIDのリストが出ますので、確認したい項目をタップでパスワードが表示されます(ID/PASSは架空です)

 

※これね、逆に悪用されることもあるので、不要なサイトは消しちゃってもいいよね。

 

IP/PASSの管理表で、パスワードを見直す

可能な限り書き出すのに半日くらいはかかるかもしれませんね。

ちなみに私が管理しているID/PASSは120組あります。

 

さて、以下のように書き出しましたでしょうか。

(画像中のID/PASSはダミーです)

 

 

ざっと見て、同じIDとパスワードの組み合わせになっているものをチェックしましょう。

ものすごく面倒ですが、パスワードは同じものが被らないようにするために、各サイトにログインしてパスワードを変更していきます。

 

パスワードの付け方

パスワードの付け方は12桁以上でランダムな英数文字(記号が使えたらそれも)で作ってください。

例えば「Re9ajBaZM@K2」とか、「HiNb87fAy#Q9」など。

数字の「0」とアルファベットの「O」など、手書きで書くと分かりにくいものは、個人的には避けてもいいかと思います。

尚、古いサイトは8文字までしか登録できないものもありますが、その場合はきっちり8桁使いましょう。

 

パスワードは、「複雑に文字を組み合わせる」よりも「桁数を長くする」方が安全性を高める上では有効ですので、「複雑な文字の組み合わせで長い桁数」が理想です。

 

やったらアカン!悪い例
「111111111111」とか「abcdefghij」など推測されやすいもの、「asdfghjkl」というようにキーボードのAの行を順にしたものもダメです。
生年月日や名前なども推測されやすいのでダメ!

ハッカーの世界では、よく使われてそうなパスワードをリスト化して、そのリストを使ってパスワードを探す「辞書攻撃」というのがあり、みなさんが覚えやすさ優先で考えたようなパスワードは概ねリスト化されていると思ったほうがよいでしょう。
頭いいですから、ハッカーは。

 

ということで、頑張ってパスワードが被らないよう変更してください。

 

おい!簡単に言うけど、めちゃくちゃ面倒やんか!!

 

そうなんです、めちゃくちゃ面倒なんです。

私も120あるID/PASSを全て変更するのに丸1日掛かりました。

 

怒りを抑えてもらいたいので、ちょっとここで、ニュースをご紹介します。

 

2019年1月22日 「宅ファイル便」が約480万件の情報漏えい

「宅ファイル便」は大きなファイルを相手に送る時に便利なサービス。仕事で使ったことがある人も多いでしょう。

このサイトが今年の1月22日に大規模な情報漏えいをしてしまいました。

参考:お詫びとお願い:第一報 | 第二報 | 第三報

参考2:「宅ふぁいる便」の大規模情報漏えいに三上洋氏「史上まれに見る“バカな流出”」

 

この第一報の時点で、以下のような記載がありました。

3.お客さまへのお願い
「宅ふぁいる便」と同一のユーザーID(メールアドレス)、ログインパスワードを用いて他のウェブサービスをご利用されているお客さまにおかれましては、誠にご面倒ではございますが、ログインパスワードを変更いただきますようお願いいたします。

「宅ふぁいる便」と同じID/PASSを他所で使ってたら、そちらも変更して!ということです。

 

ん?なんで他所のパスワードも変更しなきゃならんの?

 

と思いますよね。

まずこれは「パスワードを使い回している人」が対象です。

 

今どきほとんどのサービスではパスワードは暗号化※して保存されています。

これは、万が一アカウントが流出してしまっても、ハッカーにパスワードが分からないようにするための処置で、冒頭で説明した「パスワードリスト攻撃」への対応になります。

 

ところが、「他所も変更して!」ということは、パスワードを平文(暗号化せずテキストそのまま)保存していた可能性が高いことが読み取れます。

実際に今回のケースはパスワードは平文保存でした。

 

これは最悪のケースで、「宅ふぁいる便」でアカウントを持ってて、しかもパスワードを使い回ししている人は二次被害に遭う確率が相当高いと言っていいでしょう。

どんな被害が想定できるかは、使い回ししているサイトの数や種類によって違いますのでなんとも言えませんが、結構怖いカンジです。

 

っつーか、こんな大事な件もっと大々的に告知してもらわんとアカンでしょ!

 

自分に非はなくとも、こういうニュースは突然やってきますので、先程の「パスワード管理表」を完成させて、パスワードをそれぞれ異なるものにしておくことが、安全確認の肝となるわけです。

 

ということで、パスワード管理表はぜひとも完成させてください。

 

※厳密には可逆を暗号化、非可逆をハッシュ化と分けますが、わかりやすさのため暗号化で統一します。

 

ちなみに、平文のパスワードが流出してしまった事件では、近いところで2018年4月に三菱地所・サイモンが運営する「プレミアム・アウトレット」のサイトから27万人分の会員情報が流出しました。

 

参考:ショッパーズクラブ会員情報に関する報告

 

これを読む限り「宅ファイル便」と同様、他所もパスワード変更して!」といった内容が書かれていますね。後に一部の新聞で「パスワードは平文保存」と書かれていました。

 

WEBサービス、ホームページは大手だから安心とは言えないようです。

 

少なくとも「平文パスワード」が漏れるというのは本当に危険と思いますので、情報漏えいのニュースが流れたらそこに注目して読むようにしてください。

 

最後に

リスト攻撃を発展させたレインボーリスト攻撃など、まだまだ書きたいことはいっぱいありますが、今回も既に長くなってしまったので、別の機会につづきを書きます。

 

また、アマゾン、グーグル、Facebook等、ログインに2段階認証が用意されているサイトは、ぜひ利用してください。

 

セキュリティに興味の出てきた方は以下のニュースをチェックすると良いかと思います。

セキュリティネクスト

情報漏えいのニュースをはじめ、セキュリティに関するニュースがかなり充実しています。

(RSS配信してくれないかな・・・)

 

それでは今回はこのへんで。

この記事はお役に立ちましたか?

役に立たなかった  役にたった

ページトップ