【注意喚起】(その1)
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2018年5月17日
数千万件・数億件といった規模の「メールアドレスとそのメールアドレスに関連したパスワードのリスト」がインターネット上に複数公開されているとの情報があります。
(続く)
【注意喚起】(その2)
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2018年5月17日
インターネット上では、メールアドレスをIDとして利用しているサービスが多数あるので、同一のパスワードを複数のサービスで使い回していると、当該リストが悪用された場合は「不正アクセス」や「なりすまし」といった被害にあうことが考えられます。
(続く)
先日ちょいと話題に上った、中国業者による億単位のIDなどとパスワードの組み合わせのデータの漏えい問題。恐らくは似たような話は山ほどあり、今回はたまたま数の多いセットの漏えいが表に出たまでのお話。で、こういう元データが流れてしまうと、該当の組み合わせをしているサービス自身では無く、他のサービスに対する無差別攻撃にも使われてしまう。
どういうことかというと、ある場所で使われていた合い言葉が他の場所でも使われているかも、との推測の下に、総当たりでチェックをされてしまうってこと。他のサービスでも同じIDとパスワードを使っている人はゼロでは無い、だろう。そういう人が対象になれば、別のサービスからのデータ漏えいでも被害者になり得てしまう。例えが雑だけど、自転車と家の鍵が同じ人がいたら、自転車の鍵を盗まれてしまうと、家にも不法侵入されかねないってこと。
【注意喚起】(その3)
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2018年5月17日
ついては、パスワードの見直しを行うとともに、利用しているサービスに2段階認証等が提供されている場合は積極的に用いることで、自衛策を講じるようお願いいたします。
なお、パスワードを変更する場合は、安易に類推されることのない複雑さを確保しましょう。
(続く)
【注意喚起】(その4)
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2018年5月17日
パスワードの複雑さについては、NISCで作成している「情報セキュリティハンドブック」p28、p40に解説してありますので、参考としてください。
PDF版、アプリ版、電子書籍版があり、もちろん無料です。https://t.co/JExplfZ6IO
対策としては「容易に想像できるパスワードにしない」「IDやメールアドレスとパスワードの組み合わせはサービスごとに変える」「二段階認証が使えるところは極力利用する」などかな。いずれも便宜性の上ではマイナスに違いないのだけど、安全性は確実に向上する。
被害を受けてからでは遅いからね、ホント。
執筆:
コメントする