【あなたは大丈夫?】LINEにFacebook!次々とアカウントがやすやすと乗っ取られるわけ


時たま、ながれる乗っ取り問題。

何が問題で
どうなっているのか?

どう予防すればよいのか?

乗っ取られたときの慌てない対処法を
書いてみたいと思います。

乗っ取られるパターン

大抵のサイトでの認証方法は
IDとPWを入力して、あなたであるかどうかを見ています。

・ID,PWのセットを人に知られた場合
・ID,PWを見破られるパターン
・ID,PWをサイト内で見られたパターン
・ID,PWを通信経路で見られたパターン

今回の問題では、3番目なのです。
難しいのは、LINE自体のサーバを
クラッキングされていなくても
バレる場合があります。

例えば、小さなショッピングサイトで
アカウントを作ったとします。

その時、メアドとPWで作ります。

現実的に多くの人が おなじPWを使いまわすので
あるしょぼい  サイトで漏れたIDとPWの組を
大手サイト(LINE ,FACEBOOK  Amazon , Google , Yahoo)などで試します。

そうすると、たまに
ログインできることになるのです。

sameid_crack-min

入手したあと悪意がある人はPWを変えたり、
クレカ番号を控えたり
何かを購入したりします。

実物を買って送り先を変えると、住所バレます。
だからなりすまして、電子マネーを購入させるのです。

犯罪を犯す上に、非効率だと思いますがねぇ。。。

クレカ使ってバレないのは
よほど大きな社会レベルの犯罪組織です。

 

このように、問題はどちらかと言うと
大手サイトが問題というよりは
個人のミスが引き起こしていることが多いのです。

LINEが乗っ取られたわけではなく、
LINEアカウントが乗っ取られたのです。

単に流出といっても一概にどこが問題かは
判断できないくらいは理解しておいてください。

 

予防の仕方は?

一番理解がシンプルなのは、IDにメールアドレスを指定しているので
変えにくいですが、PWは自由に変えられます。

サイトごとに PWを変えることです。

しかしこれも、難しいため半分以上無責任な対策です。

かと言って同じにすることはおすすめしません。

住所など個人情報が多いサイトは、別々のPWにする必要がありますし
小さなサイトとでも別々にする必要があり管理は大変で
覚えられる限界です。

ぎりぎりいって、利用が稀で小さなサイトは同じID/PWにしても
まあ、自分でリスクを考えながらしてそう対応しても良いかもしれません。

または PWのどこか 3番目に少なくとも1,2文字サイトのIDを入れるといいかもしれません。
*** fb***  のように4番目にFBのイニシャルを入れて見るみたいにすると
サイトごとのPWに変わります。
(似たようなPWに比べれば、多少良くなります)

PWは管理が必要

PWは管理しないと現実的に無理です。

PW付きExcelを普通の人にわからないように安全に管理したり
(ファイル名も気をつける)
1Passwordなどのソフトを導入することをおすすめします。

電子ファイル(ローカル/クラウド)

ちなみにexcelファイルも暗号化しても
取られてしまうと確率は低い
(excelのフォーマットの理解と最新のセキュリティに関してプログラミングできるほどの腕前)ですが
もしかしたら、1日から数ヶ月で力技でバレてしまう可能性もあります。

クラウドに置くと一元管理しやすいです。
Googleは微妙かもしれませんが、
MSやDropboxなど、データを必要としていない会社でかつ
セキュリティを売りにしている会社だと安心かもしれません。

紙や手帳

紙は紙で、
運用のしづらさやなくしたときの衝撃
100件以上のコピーの手間が計り知れないです。
安全ですが持ち運びに最新の注意が必要です。
コピーミスしたら、管理していないのと同じですし。

突然必要になったID・PWは諦めるしかありません。

PWを管理しない管理方法

もう一つの方法は、毎回適当なPWで登録する方法です。
たまにしか使わない店やサイトであれば、良いと思います。

大抵のサイトでは、PWリセット機能や再設定機能があるため
その時だけ覚えて置けるランダムな値でも良いです。
数日後忘れていれば、PWリセットをします。
#そのためにはメールアドレス or 電話番号の登録だけは忘れないでください。

できなかったら再度作り直しになります。

そうすれば、他のサイトと被らないPWを簡単に利用することが可能です。
(人は知らずうちに同じPWを使いがちなので、
その時の日付と年を足したりかけたり、
好きなチームの順位や打率などを複数利用しても良いです)

ワンタイムパスワードも同じような仕組みに近いです。

乗っ取られ後の対処法を意識しておく

PWの変更

もし犯人にPWが変えられなかったら
すぐPWを変えることをおすすめします。

端末認証やワンタイムパスワード

PWを変えられていたら、メアドでPWをリセットします。
メアドまで変えられていたらログインできないので

電話や紙メールなどで依頼するかですが
最近は、端末認証機能があります。

携帯電話(ガラケーもスマホも)電話番号があれば
多くのケースでSMS(ショートメッセージサービス)があります。

大手サイトであれば、SMS利用して端末(電話)を登録しておくと
ID・PWを変更できる可能性があります。

なので、事前に端末の電話番号を登録しておくと良いです。

ワンタイムパスワードは、ログインするたびに発行する仕組みだ。
パスワードはスマホ経由でもらい1時間で有効期限が切れる仕組みと組み合わせる。

サイト側

他の端末や直近利用していないところからログインされたり、
PWが変更されたら
本人に通知する機能もある。

・端末の変更
・ブラウザの変更
・IPの変更

などを検知する。

ただ、IPアドレスなどで確認するようなものは、
大手プロバイダではしょっちゅうIPが変わるのでうっとおしい。

事後対応だが、もし自分がログインしていなかった場合
気づくことができる。
Gmailなどあなたのやり取りをこっそり何年も見続けられていた
なんてことを防ぐにはたいへん役立つ。

補足

・ID,PWのセットを人に知られた場合
・ID,PWを見破られるパターン
・ID,PWをサイト内で見られたパターン
・ID,PWを通信経路で見られたパターン

乗っ取られる他のパターンについて補足します。

1番目は、ID/PWを頑張って管理してください。
1passwordというソフトもあります。
トレンドマイクロの「パスワードマネージャー」というソフトもあるらしいです。

2番

ID/PWを短くシンプルにしないこと以外に現状は
対策がありません。
使いまわしも控えてください。

4番目は

https や wifiなどで少なくとも全ての通信経路で暗号化することです。

wifiも
WEPは1分切るレベルで、
NINTENDO DSが流行った頃の WPA+TKIPはすでに1日で対応できるぐらいなので
WPA2 +AESなどの高いセキュリティの設定がおすすめです。
暗号化していないwifiでは ID/PWは使っても行けません。
ログイン画面もなるべく見ないようにします。

ID/PWを入力する ログイン前の画面でも httpsになっていることが重要です。

もうひとつは、こまめにログアウトすることです。
さもないと、関係ないサイト(脆弱性のある)で引っかかって、
実は有名サイトにログインされることもあります。
これだけだと犯人にバレませんが、
あなたのローカルコンピュータがハックされていたら
自由にやらせることにほかなりません。

※「ぼくはまちちゃん」問題は、サイトも乗っ取られた。

 

こういう対策をするコストと
貧しい人を助けるコストはどっちが少ないんでしょうかね?

 

 

 

コメントを残す

メールアドレスが公開されることはありません。