よくある6つのアカウント乗っ取り攻撃とその対策

経済評論家の池田信夫氏がGoogleのアカウントを乗っ取られたと話題になっている。

二度目になるようだし、池田氏が他人のITリテラシーを批判する事もあって、池田氏の不幸を喜んでいる人もいるが、事件とは別にパスワード運用が杜撰な人は少なく無い。

一般ユーザーが気にした方が良い問題をまとめてみた。

1. フィッシング詐欺

フィッシング詐欺は、悪意を持った攻撃者が本物のログイン・ページと見間違えるようなページを用意し、電子メールやメッセンジャーなどで標的（＝あなた）に偽装ページのURLを教え、パスワードの入力を促すものだ。池田信夫氏が2007年に引っかかったのがこれ。パスワードを入力するときにURLが正しいか、httpsで保護されているかを確認する癖をつければ防止できる。

対策:パスワード入力先のURLや、SSLでの保護の有無を良く確認。

追記(2012/10/04 08:45):池田信夫氏が、OAuth（xAuthでは無い）を使ってもフィッシングを防げないような事を言っていた（Twitter）。これは正確ではない。OAuthはサービス内の権限委譲のためのプロトコルで、部分的に権限委譲を行う。例えばTwitterにOAuthでアクセスするクライアントは、パスワード変更の権限を持たないし、パスワード入力もさせない。Twitter本家へのログインがいるだけだ。だから通常は、OAuthを使う場合はアカウント乗っ取りを防止できる。

2. マルウェアによるパスワード奪取

電子メールで、スクリーン・セーバーのフリをしたマルウェアを送りつける手口がある。トロイの木馬。

PCが支配下におかれると、そのPCで入力した全てのパスワードは奪取されると思ってよい。電子メールソフトのセキュリティー・ホールをついて、自動でマルウェアが実行されるとお手上げになる。最近はウイルス対策ソフトや電子メール・ソフトの脆弱性対策で聞かなくなったが、昔はマルウェアの被害者は多かった・・・と思ったら、2011年に三菱重工サイバー攻撃があった。

なおネットバンキング・システムで、金融機関を名乗って送りつけてきたCD-Rにマルウェアが入っていた2005年の事件もあるから、インターネットに限らず自分から要望した覚えの無いソフトウェアの利用には、よく注意する必要がある。

対策:セキュリティー・ソフトをインストールし、OSやアプリケーションを最新バージョンにする。メールで転送されてきたようなアプリケーションを無闇に動かさない。

3. パスワードの使い回し

複数サイトで共通のパスワードを使うのは危険性が高い。サイトA、Bに共通のパスワードを設定するとする。サイトAが、サーバー管理が脆弱、もしくはサイト管理者に悪意があるとしよう。するとサイトAでパスワードが奪取され、サイトBで使われる可能性がある^*1。LinkedInやTwitterのパスワードが一部流出したと言うニュースがあった。パスワードをサービスごとに変える、OpenIDを使う事でパスワードの集中管理を行うなどが対策として考えられる。

対策:異なるサービスで共通のパスワードを用いない。なるべくOpenIDでパスワードの集中管理を進める。

4. 脆弱なパスワード

名前や、名前と生年月日の組み合わせなどは脆弱なパスワードになる。辞書アタックと言って、それらしい単語で総当りにパスワードを試す攻撃者もいる^*2ので、最低でもランダムな数字と、ランダムなアルファベットを組み合わせたパスワードにするべきであろう。Apple IDパスワードは大文字小文字を混ぜろと、さらに厳しい要求がされる。

対策:パスワードはランダムに生成する。例えば書類の中の一点を目をつぶって指差し、そこに書かれた文字をパスワードを構成する文字として選ぶなりしよう。

5. 調べれば分かる秘密の質問

パスワード再設定のために「秘密の質問」を用意しているサービスは多い。しかし、これは脆弱性そのものになりかねない。

Facebookの情報でYahoo!の秘密の質問の答えを調べて大量のアカウントをクラックしていた男が逮捕されたこともあった。調査でも「秘密の質問」は推測可能なものが多いと指摘されている（ZDNet）。

安全面から言えば、他人が絶対に知らない答えを用意するしかない。つまりランダムな文字を質問の答えとして設定し、答えは暗記をするか、紙に書いてどこかに隠す^*3しか無いであろう。

対策:「秘密の質問」の答えもランダムに選び、控えは作らないか、サービスやアカウントが推測されないような状態で隠す。

6. 危険な場所でのパスワード利用

攻撃者が用意した、もしくはマルウェアに感染したPCにパスワードを入力したら、パスワードは漏洩する。PCに限らずネットワークが危険なときもある^*4。パスワードを電子メールに書いてしまうのも危ないので、メールで通知された初期パスワードは、すぐに変更するように促されているはずだ。もっと物理的なリスクもあって、パスワードを入力中の手の動きを見られている可能性もある^*5。

ただし嫁や同僚に盗み取られていたケースを除けば、意外に盗聴されるケースは多く聞かない。ネットカフェなどでもマルウェア対策なのか、利用終了後にHDDを初期化する店舗も多い。

対策:信頼の置けない場所では、サービスの利用を控える。

7. 安全なネットワーク生活のために

上述の(1)～(6)を注意しておけば、そこそこ安全なネットワーク生活を送ることができる^*6。サーバー側が突破されたらお手上げだが、ユーザーとして出来る安全対策は心がけておくべきであろう。面倒に思えるかも知れないが、普段利用しているアカウントが乗っ取られたら、あなたの生活に大きな支障が出るはずだ。

*1パスワードはハッシュ関数で暗号化して保存してあるので安全に思えるかも知れないが、平文のままのサイトもありえるし、サーバーが乗っ取られているとパスワード入力時点で“盗聴”される可能性もある。

*2sshサーバーやFTPサーバーを立てておくと、英語の名前のアカウントを標的にした総当りアタックのログインを試みられるのが分かると思う。パスワード・ログインを許可していなくても攻撃してくるので、標的を見つけ攻撃して進入するまで自動のようだ。

*3アカウント名は紙に書いてはいけない。秘密の質問の答えだけを、隠す。

*4経路がSSLで保護されていればリスクは減少するが、メールを読み出すときのAPOPではパスワードしか保護されないし、POP3では平文のパスワードが流れて危険だ。

*5最近のATMではタッチパネル式の画面で、数字の配列を頻繁に変えることで入力しているパスワードを推測させない方法が普及している。

*6さらにGoogleの2段階認証プロセスを用いてもいいが、運用が煩雑かも知れない。