不正アクセスのパスワード入手の手口

錠剤を運ぶ

最近の不正アクセスは異常事態と言えるレベルになっています。自分は大丈夫だと考えている人ほど危ないといえます。

多くはパスワードを不正に入手されアクセスされています。犯人がパスワードを入手する手口をまとめてみます。これを知っておくことにより、パスワード漏えいを防ぐ助けになります。

パスワードクラック

パスワードを類推し不正アクセスする方法です。「password」や「12345678」、「qwertyui」などのパスワードはすぐに破られます。

個人情報から類推できるパスワードも危険です。誕生日、車のナンバープレート、電話番号などです。本人だけでなく、家族や友人のものも危険です。

辞書に載っている言葉もダメです。辞書に載っている言葉を試す不正アクセスツールもあります。

さらに総当たり攻撃と言われる方法があります。すべての文字の組み合わせを試す方法です。

そのため、パスワードは総当たり攻撃をされても現実的な時間で不正アクセスができないようにしておく必要があります。

具体的には、アルファベットの大文字、小文字、数字、記号の文字種をすべて使い、8文字以上とします。

パスワード漏えい

利用しているサービスからパスワードが漏えいすることがあります。これは自分で防ぐことはできません。

対策は、パスワードの流用をしないことです。そうすれば、パスワードを漏えいしたサービス以外で被害をこうむることはありません。

通信傍受

通信内容を傍受されてパスワードを盗み取られる可能性があります。

特にフリーWi-Fiは危険です。傍受されていない保証はどこにもありません。海外のホテルや空港では傍受されていると考えたほうが安全です。

基本的な対策は暗号化です。暗号が解読されない限り、傍受されても情報の中身はわかりません。暗号化されていない電子メールは簡単に読み取られます。

ネットワークバンキングなどではSSLという暗号化ツールを使っています。通信を暗号化していないサービスでは、傍受により情報漏えいがあり得ます。

暗号が決して解読されないわけではありません。それなりのコンピュータパワーと時間をかければ解読されてしまいます。

暗号の方式により、解読の困難さも変わります。セキュリティの度合いで暗号化ツールを選択することになります。

先日、『ノマドや海外でWiFi使う方は必須だと思う、VPNソフトを入れてみたよ | More Access! More Fun!』という記事で、VPNソフトを使う例が紹介されていました。

VPNとは、ソフトウェアで通信を専用線のように扱う技術です。専用線ですから原則、傍受できません。

しかし、紹介されているVPNソフトは接続先までを専用線化するのではなく、ソフトベンダーのサーバーまでを専用線化するだけです。ソフトベンダーのサーバーから接続先までは、通常のインターネット通信となります。傍受される可能性が残ります。

紹介されているソフトは、フリーWi-Fiを使うときに、傍受されないために使用するものです。なお、ユーザー数が増えてきたときに、ソフトベンダーのサーバーの性能が十分かどうかも気になるところです。

また、フリーWi-Fiはパソコンのセキュリティが甘いと、接続するだけでパソコンから情報を盗み取られる可能性があります。

フリーWi-Fiは自分のパソコンのセキュリティに自信のある人だけが使うべきで、そうでない人が使うことは危険です。

ソーシャル・エンジニアリング

人間の心理的なすきや行動のミスにつけ込んで、パスワードを入手する方法です。

あまり親しくない上司やシステム管理者のふりをして電話をかけ、パスワードを聞き出す方法などがあります。

パソコンを操作する後ろからのぞきこんでパスワードを入手する方法やパスワードが書かれたメモを見るという方法もソーシャル・エンジニアリングに分類されます。

電子メールで送った偽サイトにアクセスさせ、パスワードを入手するなど手の込んだ方法もあります。

パスワードを忘れた人に対する救済策が利用される場合が多いです。

パスワードを入手しようとする犯人が知恵を絞ってやってきますから、ねらわれると防ぐことは困難です。

まとめ

パスワードは、アルファベットの大文字、小文字、数字、記号を混在した8文字以上の文字列にします。

他のサービスとの流用は避けなければなりません。

インターネットは傍受が可能ですので、暗号化していない通信は、情報が漏えいする可能性があります。電子メールは要注意です。

特にフリーWi-Fiは危険です。通信の傍受だけでなく、パソコンに侵入され情報を盗み取られる可能性もあります。

最近のパスワード漏えいは、フリーWi-Fiで暗号化されていないサービスを使って、発生した可能性があります。

そこで入手したアカウントとパスワードが使われ、パスワードを流用している人が不正アクセスされたということではないでしょうか?

  • このエントリーをはてなブックマークに追加

フォローはこちらからお願いします。

会社勤めから起業するためのウェブ集客セミナー
会社勤めから起業するための7つのステップ