2017 081234567891011121314151617181920212223242526272829302017 10

スポンサーサイト 

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
トラックバック(-) | コメント(-)

絶対にやってはいけないパスワード共通化 

いろんなWebサービスでアカウント名は違うけどパスワードはみんな一緒だという人が結構多い。その危険性を全く認識していない人もまた多いという事だ。

有償のサービスの契約についてオンラインで確認できる所はかなり多い。例えばインターネット接続プロバイダーやレンタルサーバーのコントロールパネル、ネットワークゲームのアカウント管理画面などなど。契約者の情報から住所・氏名が判ってしまうのはまだ良いとして、支払い方式の所からクレジットカード番号が判ってしまうというのも良くある。

つまり、その有償サービスのログインIDとパスワードが漏れた場合の金銭的なリスクは、クレジットカードの利用限度額という事になる。大抵は有償のサービスにおいては、システム側も厳格なセキュリティ方針を持っているし、利用者側もそうした意識は多少は持っている(ハズだw)。

だがしかし無料サービスも込みで考えた場合は、非常に危険な状態を無自覚に放置している場合もある。


例を挙げよう。
共通パスワードで運用している人が、今非常に流行している JSRedir-R (別称は Gumblar、通称GENOウイルス)に感染した場合どうなるか? 最悪シナリオで書いてみましょう。

Adobe Reader を更新していなかった(Adobe Updater の自動更新サイクルは毎週もしくは毎月なので、意図しなくてもその間の期間でその状態は出現する可能性がある)ため、攻撃される事が判っている既知のセキュリティホールが残っていた。

そこで JSRedir-R に感染したコンテンツをもつサイトを閲覧し、自分のPCも JSRedir-R に感染する。

んで、自分の運営するホームページのコンテンツを更新する。JSRedir-R は FTP 通信(FTPにおいてはIDとパスワードは暗号化されない)を盗み見ているようで、FTP の接続IDとパスワードを盗まれる。JSRedir-R はその情報を使ってサイトの改竄を行い、さらなる増殖経路を増やす。また、JSRedir-R が取得した情報は元締めになるサイトへと送られてるでしょう。悪意を持った第三者にアカウント情報が収集されると云う事です。

ここまでは JSRedir-R の被害としてよく言われる点です。
では、盗まれたFTPアカウントが、FC2ホームページ(無料)のものだとします。
FC2ホームページはFC2IDによるシングルサインオンを実現していますが、愚かなことにサービス全体の管理ID/パスワードとFTP接続のログインIDとパスワードは共通のシステムですから、FTPアカウント漏洩はFC2ID漏洩を意味する。

FC2ドメインあるいはFC2レンタルサーバーなどの有償サービスを契約していた場合は、ここで詰み。住所・氏名・支払い条件などの情報が取得できます。

FC2IDの場合、IDは登録メールアドレスを充てています(良くあるパターンですが)ので、共通パスワードによる運用をしていれば、登録メールアドレスも自在に扱えますね。

例えば紐付けられた登録メールアドレスが Yahoo!メールであれば、メールアドレスの@左側が Yahoo! のサービス全般のログインIDでもありますから、パスワードさえ判れば、全部見れる道理ですね。Yahoo! の有償サービスを契約してる場合は、ここでアウト。(逆にYahoo!のセーフティアドレスなら、ここで頸木を断ち切ることができます)

Yahoo! の有償サービスは使ってないよ! って言う人でも、Yahoo! ID の登録メールアドレスにはISPのアドレスを使ってるケースはあるでしょう。共通パスワード運用してるならそのメールも読めます。

もしここでYahoo!メールかISPのメールアドレスを覗いて、ショッピングサイトからのメールが届いてたらラッキーですw そのショッピングサイトでパスワードリマインダー(パスワードをお忘れの場合ここを押してくださいボタン)をポチっと押します。
そしたら、新パスワードかパスワード変更URLのメール送って来ますよね。これでショッピングサイトにログインできるようになります。そしたら住所・氏名・支払い条件を確認できますね。ああ、ここも共通パスワードだったら、そんな必要も無く情報は取得できましたかw

パスワードを共通化している場合、これだけ簡単にクレジットカード情報に到達できるという事です。

OS/プログラムのセキュリティパッチ導入やファイアウォール、Webフィルタリングのツールを入れようというのは、マルウェア対策として良く言われる事ですが、パスワード管理の方法が間違ってると酷い目に遭うと言うのは、あまり言ってる人が多くありません。
知ってる人には常識で、知らない人には面倒なだけと思われているのかもしれませんが。

いろんなサービスに登録するのは良いけど、パスワードを同じにするのは止めましょう。非常に危険です。また数字だけのパスワードや辞書に載ってる単語のパスワードもダメね。凄く簡単にブルートフォースアタックできちゃいます。もちろんハッカーとかじゃなくても、誰でも入手できるツールでできちゃったりするのでw

さらに言うなら、有償サービス登録時のメールアドレスは、無償サービスでは利用しないし、通常の対人メールに使用しない(自分以外の誰かがマルウェア感染した場合の用心)というのも有効だと思います。(FC2IDやYahoo!IDのように無償と有償のサービスが混在してる場合、面倒ですが、複数アカウントに分けて登録してもいいと思う)

さらにさらに追加すれば、ネット決済に利用するクレジットカードや口座は、それ専用に限度額が低いもの、残高を抑えたものを利用するのが宜しいかと思います。もしもの場合の被害は最小限にできます。メインのカードや銀行口座を凍結しなきゃいけなくなったら困るでしょ? 保険や再発行がきいたとしても。
[ 2009/05/23 17:49 ] sec | TB(0) | CM(0)   ブックマークに追加する
コメントの投稿













管理者にだけ表示を許可する
Profile

ウニモグ

Author:ウニモグ
About - このブログについて
Credits - 利用素材などの記載
Contact - フォームによるお問合せ

Recent comments
Monthly Archives
ブロとも申請フォーム


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。