*☆* カレンダー *☆*

2017年12月
« 11月    
 12
3456789
10111213141516
17181920212223
24252627282930
31  

アーカイブ

WEB申し込みでの即日MNP転入に対応

 

Firefox で、
 
[Home] キーを押すとトップ画面に行きます。
 
[End] キーを押すとボトム画面に行きます。

 

約1800万人分のIDやパスワード漏洩、分かった事と対策







約1800万人分のIDやパスワードが漏洩していた事が分かったとのニュースが有りました。

記事のタイトル及び URL は以下の通りです。




 

これらの記事を、「朝日新聞デジタル」で見てみると、以下のようになっていました。

下図に示す記事のスクリーンショットは、2016年3月25日12時過ぎの時点のものです。

不正アクセスのサーバーにID1800万件 警視庁押収 - 2016年03月25日

これらの記事から、パスワードの漏洩は、以下の順序で発生していったものと考えられました。

    1. 何らかの手段で ID を入手。攻撃によって入手、不法な手段で一部を購入等。

    2. 入手した ID の箇所に、「攻撃ツール」を使ってパスワードを入手。

    3. 入手した ID とパスワードでログインし、そこで新たに ID を入手。

    4. 新たに入手した ID 先に、「攻撃ツール」を使ってパスワードを入手。

    5. 後は、上記 2. から 4. を繰り返し、 ID とパスワードを貯めこんでいった事が推察されました。

 
その理由は、以前、当方のブログが、何度もブルートフォースアタックを受けた事がありました。

ブルートフォースアタックは、どう考えても攻撃ツールを使っているとしか思えませんでした。

ID とパスワードを盗みだすため、0.1秒単位でいろいろなパスワードを試して、不正侵入をしようとしていた記録が有りました。

間違った ID でブルートフォースアタックを受けていた時は、悠長に構えていましたが、流石に、IDが相手にバレた時は焦りました。

攻撃してくる相手に ID がバレて、パスワードだけをいろいろ試して来た時には、攻撃してきた所の IP アドレスを直ぐにブロックしました。

しかしながら、攻撃してくる相手は、別の IP アドレスを使って連続して攻撃してきました。

当方としては、攻撃を防ぐために、攻撃してくる所の IP アドレスをブロックすると同時に、新たに ID を作成し、そこに権限機能を移し、バレてしまった ID の権限機能を無効にするという対策をとりました。

また、パスワードの桁数を増やして、簡単に解析されないような措置を行いました。

ブルートフォースアタックを受けると、ブロックする機能のツールをインストールしました。

このような対策をした結果、今のところ、ブルートフォースアタックを受けていません。

ただ、今後も何時何時、ブルートフォースアタックを受ける可能性があリえるので、不正侵入しようとしているのが有るのか無いかは、つねに確認しています。

 
自分で管理しているところは、このような対策が取れますが、パスワードが漏洩したヤフーや楽天、アップル社など31の企業の場合は、各ユーザーの ID に対して、ブルートフォースアタックを自動でブロックしていなかったり、または種々なパスワードを試みていることを知らせるようなシステムになっていなかった事が考えられました。

もしくは、今までの IP アドレスや、異なったシステムからログインした事が起きた場合は、ユーザーに、通常と違う IP アドレスや、異なったシステムからログインしていますという連絡機能も無い事も考えられます。

これらを踏まえて、対策を考えてみました。

 
対策

    1. パスワードが容易に解析されないようなものにする。パスワードの桁数を増やす。文字・数字の組み合わせを複雑にする。

      長く、複雑なパスワードを作成するのは容易では無いので、パスワード作成アプリをインストールして、桁数が多く、複雑な組み合わせのパスワードを自動で作成するようにする。

    2. ブルートフォースアタックを自動でブロックしない、または種々なパスワードを試みていることを知らせるようなシステムになっていない所は使わない。

      例えば、5回程度以上、故意に間違ったパスワード入力して、ブロックしてくれるのか、または知らせてくれる機能があるのかを確認する。

    3. 通常と違う IP アドレスや、異なったシステムからログインしていますという連絡機能がある所をなるべく使う。

      通常と違う IP アドレスや、異なったシステムからログインして、連絡してくれるか確認する。

    4. 乗っ取られることが有るものと想定して、貴重な情報やデータはそこに置かないようにする。

    5. ある程度の期間で、パスワードを変更する。

 

Leave a Reply