プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

パスワード使いを含む記事

このエントリーをはてなブックマークに追加
23

皆さんこんにちは。
プライバシーザムライ中康二です。

パスワードリスト攻撃の被害が頻発し、脅威がますます大きくなっていますね。

世界の数多くのネットサービスからメールアドレスとパスワードの組み合わせが流出し、それが集約されて何億件ものリストになったものが、地下ネットで流通しているわけですから、それが悪用されるのも当然のことといえましょう。

パスワードリスト攻撃に関する過去の記事
パスワード使いまわしに関する過去の記事

これに対してどのように対策を取ればいいのか。

セブンPay事件で「2段階認証」という言葉が注目されるようになり、それが解決策のように思われている方も多いと思いますが、私はむしろそのもっと前の段階にある「悪習」をやめることによってパスワードリスト攻撃を撲滅することを提案したいと思います。

それは、メールアドレスをIDとして使用することをやめて、独自ID方式を採用することです。

もともと、ネットサービスでは、独自にIDを発行していました。
(例)
 ニフティサーブ ABC11102
 三菱UFJ銀行  29238371
 エバーノート  samurai_koji
というような感じです。

このように独自IDを発行して、利用者が指定したパスワードとの組み合わせで認証している場合には、特定のサービスでアカウント情報が漏れたとしても、そうそう簡単に他のサービスに入力して試すということはできません。難易度が高く、成功率が低くなりますので、そのような攻撃は成立しえないと思います。

ところが、最近のネットサービスでは、メールアドレスをIDとして使用しているものが大半です。
(例)
 Facebook samurai@xmail.com
 Amazon  samurai@xmail.com
 日経ID   samurai@xmail.com
 リクルート samurai@xmail.com
 Hなサイト samurai@xmail.com
というような感じです。

このようにメールアドレスをIDとして使用し、利用者が指定したパスワードとの組み合わせで認証している場合には、特定のサービスでアカウント情報が漏れたとすると、何割かの利用者は同じパスワードを使いまわししているので、簡単に他のサービスでも使えてしまうということになってしまいます。これがパスワードリスト攻撃です。

また、最後の「Hなサイト」というところに注目してください。運営者もよく分からない海外のアダルトサイトにメインのメールアドレスを登録して、しかもパスワードを使いまわすような人も実際にいるのです。そういう不用心な人がパスワードリスト攻撃の被害者とも言えます。

多くのネットサービスでは、パスワードの管理は利用者側にあると定義しており、利用者側が不注意にパスワードを扱った場合にはどんな被害を受けても運営者側は責任を持たないとしています。ですから、従来、どれだけパスワードリスト攻撃で被害が発生しても、運営者側は関知せず、利用者に対してパスワード変更を促す程度で済んできました。

しかし、パスワードリスト攻撃による被害が増え、巻き込まれる利用者が増えるにつれて、そういうわけにもいかなくなってきていると思います。ですから、運営者側でも24時間監視するとか、2段階認証を追加するなどの対策が求められるようになっており、実際にそういうことを検討されているケースも多いと思います。

パスワードリスト攻撃対策は事業者側の義務となりつつあります(ヤマト運輸の事例から)

しかし、もっと簡単な方法があるのです。それが独自ID方式の採用です。

現在のすべての利用者に一意のIDを発行し、

------------------------------------------------------------
当社のサービスでは、メールアドレスをIDとして使用することは中止します。
今後は「AJSH281716」というIDを使用してください。
------------------------------------------------------------

と利用者に周知するだけでいいのです。
これだけで、自社のサービスに対するパスワードリスト攻撃を撲滅できます。24時間監視も2段階認証も不要になります。

もちろん、「IDが分からない」という利用者からの問い合わせに対応する必要が出てくるでしょう。そのような方のために、メールアドレスを入力すればその人にIDをお知らせする「IDリマインダー機能」を用意すればいいと思います。その他にもいくつかの対応は必要となってくるでしょう。それでもパスワードリスト攻撃に真っ向から対策するよりは安上がりに済むと思います。

特に、これから新たなサービスを開発しようと考えておられる場合には、メールアドレスをIDとして利用するのではなく、独自IDを採用することを検討していただきたいと思います。今でも金融機関など堅いセキュリティが求められているサービスでは独自ID方式が採用されています。独自ID方式は全く変な方式ではなく、むしろ王道ですので、それを採用していただきたいと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。





このエントリーをはてなブックマークに追加
2019-02-03 15.01.48
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

株式会社オージス総研(大阪ガス100%出資・プライバシーマーク取得済み)は、自社が運営するファイル転送サービス「宅ふぁいる便」の利用者のパスワード(平文のまま)を含む個人情報約480万件が流出したと、1月25日付で発表しました。

流出したのは、利用者の情報で
・2005年以降、会員登録をした会員の氏名、性別、住居の都道府県、生年月日、職業、ログインID(メールアドレス)、パスワード(暗号化していない平文のまま)などの情報 約480万件
・2005年〜2012年の間に、会員が答えた住居の郵便番号、職場の都道府県、職場の郵便番号、家族構成の情報 件数未公表
とのことです。

同社でサービスを全面的に停止し、トップ画面のURLでお詫び文を掲載して、利用者との対応に当たっているようです。

https://www.filesend.to/

(私のコメント)
今回の流出が致命的なのは
・ログインID(メールアドレス)
・パスワード(暗号化していない平文のまま)
がセットになって流出していることです。


メールアドレスとパスワードがセットになっている場合、世の中の人の何割かは同じ組み合わせを他のサービスでも使いまわししていますから、この情報をセットにしてGoogle、Facebook、楽天、Yahoo!などの著名サービスに入れてみると、あれよあれよという間に不正アクセスができてしまいます。480万件流出なら100万件くらいはどれかにログインできてしまうんじゃないかと思います。

そうです。これがパスワード使いまわしによるパスワードリスト攻撃というもので、本Blogでも何回も警鐘を鳴らし続けてきていますが、それが大規模に起こる危険性がまさに「今そこにある危機」となっています。

最大限、警告します。宅ふぁいる便を使ったことがある人で、同じパスワードを他の著名サービスでも使っている人は、今すぐにその著名サービスのパスワードを変更してください。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
mainichi_20170919
(画像は毎日新聞社WEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

報道によりますと、リスト型攻撃で有効性を確認したアカウント情報を使って、ビックカメラ店頭でポイントを不正利用し、商品をだまし取ったとして、警視庁サイバー犯罪対策課が中国人ら3人を逮捕したとのことです。

犯人たちは、下記のステップを経ることで今回の不正利用を行ったものと思われます。
(1)何らかの方法で大量の「IDとパスワードのリスト」を入手する
(2)そのIDとパスワードをビックカメラのWebサイトにダメ元で入力してログインを試みる。(これをリスト型攻撃といいます)
(3)ほとんどの場合はログインできない。
(4)うまくログインできた場合、有効であることが分かり、保有ポイントも確認しておく。
(5)多くのポイントを保有しているIDとパスワードをスマホのビックカメラアプリに入力し、バーコードを表示させて、店頭でポイントを利用して商品をだまし取る。

ビックカメラのWebサイトでは、昨年10月に47万回の「リスト型攻撃」を受けていたとのことで、その直後の10月から11月にかけて、今回の犯人たちが200万円程度の商品をだまし取っていたとのことです。また、同様の方法で楽天ポイントの不正利用も行っており、ドラッグストアで医薬品を不正にだまし取った疑いもあるとのことです。

https://mainichi.jp/articles/20170919/dde/041/040/045000c

(以下、私のコメント)

リスト型攻撃はパスワード使いまわしから起こります。少し解説します。

今回の事件では犯人グループは47万回チャレンジして4000回成功したといいます。

どこから流出したリストなのかは分かりませんが、日本のユーザーが多く使うサービスなのでしょう。それが47万人分流出していたものを今回の犯人グループが入手した。

そして、その47万人のIDパスワードのリストをとりあえずビックカメラのWebサイトに専用のツールを使って流し込んでみると、そのうち何万人かがビックカメラにも登録していて、またそのうちの4000人が同じパスワードを使っていたということです。ビンゴ!

どうしてこういうことが起こるかというと、皆さんが複数のWebサイトに同じパスワードを登録しているからです。最近のサービスは、IDにメールアドレスを使っている場合が多いですから、IDはどこのWebサイトでも一致しているわけです。あとパスワードが同じなら、どこかでパスワードが流出した場合には同じパスワードを使っているWebサイトにログインできてしまいますよね。

どんなしょうもないWebサイトでもいいのです。そこに価値あるパスワードがあるかもしれない。ハッカーはそれを狙っているのです。

ですから、利用者としては、複数のWebサイトに同じパスワードを入れない。これを原則とするしか方法はありません。

参考記事
パスワード使い回し撲滅に向けた最後の戦いが始まる
http://www.pmarknews.info/archives/51955537.html

なお、手元のビックカメラアプリで動作を確認したところ、登録した生年月日を入力しないとバーコードが表示されないように仕様変更されていました。とりあえず同社はこの方法で今回の方法だけではポイント不正利用できないように手を打ったということのようです。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加
0114_11
(画像は同社のWebサイトより)

ネットワークセキュリティ管理ツール「LanScope Cat」などを開発しているエムオーテックス株式会社(大阪市淀川区)は、独自にネット上で調査した結果として、ネット利用者の3人に1人が同じパスワードで複数のWebサービスを利用していると発表しました。

これは昨年から同社が展開している「NO MORE情報漏えい」プロジェクトの一環として、特設サイト上でアンケート調査を行った結果として発表されたものです。

http://www.motex.co.jp/nomore/report/1105/

(私のコメント)
パスワード使い回しに関しては、何年も前から危険性が指摘されていますが、年を経過するに連れて大きな問題となり、これを利用したパスワードリスト攻撃が多発するようになりました。これらを受けて、昨年にはIPAとJPCERT/CCが共同してキャンペーンを張るなどしていますが、なかなか抜本的な解決が見えていないのが現状です。今回の結果は3分の1の利用者ということで、従来の調査結果よりはかなり改善しているようにも見えますが、専門情報サイトでの調査結果ということで、対象者の意識が少し高めなのではないかとも思います。まだまだパスワード使い回しの状況は改善されていないと思います。

特設サイトには他にも興味深い記事が沢山ありますので、ご紹介いたします。
徳丸先生!正しいパスワード管理について教えて!
http://www.motex.co.jp/nomore/column/1036/
パスワード管理ツール「1Password」無料版を使ってみた!
セキュリティ度が格段に上がるうえに、とにかく便利!!
http://www.motex.co.jp/nomore/trend/1071/

このエントリーをはてなブックマークに追加
31

「パスワード使い回し」による問題はどうすれば解決するのでしょうか?それに対する抜本的な解決策として、Google/Microsoft/Paypal/VISA/MasterCardなどの企業が連合を組んで取り組んでいるのが「FIDO(ファイド)アライアンス」です。FIDOが国内での初お披露目となるセミナーを10月10日に東京電機大学で開催し、私も参加してきました。大勢の参加者が集い、FIDO関係者を中心に多くの専門家がお話してくれましたが、その内容を私なりにまとめておきます。

19

FIDOがやりたいことは、
・IDとパスワードだけに頼った本人認証をやめ、もっと信頼性のおける認証方式を世界に広めたい。
・ライセンスフリーな方式を確立することで、各企業が安心して採用できるようにしたい。
・技術的には、公開鍵暗号方式を採用する。
・FIDOとしては認証方式を確立するだけであって、認証局もデータベースも持たない。
・特にFIDOが規定するのはサーバーと端末間のやりとりであって、端末側での認証には生体認証でもUSBキーでも、どんな方式を使用しても構わない。
・パスワードを全く使用しない認証であるUAF(Universal Authentication Framework)と、現在のシステムに追加して二要素認証として使用するU2F(Universal 2nd Factor)の2つのプロトコルをサポートする。
・FIDOがやりたいのは認証自体の強化であって、OpenIDやOAuthなどの共通認証とはぶつからず、むしろ助け合う関係にある。
ということのようです。

19

国内ではヤフーが乗り気のようで、Yahoo! JAPAN研究所の五味さんが、日本語のチャートでかなり分かりやすく説明してくれました。

36

また、GoogleのSam Srinivas氏は、USBキーを使用した二要素認証をFIDOのU2Fプロトコルを使用して始めると発表しました。実際に10月21日から、Googleの全サービスにおいてUSBキーを使用した二要素認証が始まりました。

(FIDOアライアンスWebサイト・英文のみ)
https://fidoalliance.org/
(当日のプログラム詳細)
http://www.dds.co.jp/fido_tokyoseminar/
(GoogleのUSBキー方式の二要素認証開始の記事)
http://internet.watch.impress.co.jp/docs/news/20141022_672433.html
https://support.google.com/accounts/answer/6103523

(私のコメント)
このFIDO方式の普及により、パスワード使い回しの問題が解決できるとすれば、本当に嬉しい限りです。10年後、「USB」や「WiFi」のように、「FIDO認証」という言葉が一般語になるのかどうか、未来が本当に楽しみです!


このエントリーをはてなブックマークに追加
000041743
(画像はIPAのWebサイトより)

国内で情報セキュリティに関する情報収集や啓発活動を実施している独立行政法人情報処理推進機構(IPA)と、独立行政法人情報処理推進機構・一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)が、パスワード使いまわしに対する撲滅に向けた呼びかけを共同で実施すると、9月17日付で発表しました。

パスワード使いまわしとは、複数のネットサービスで同じIDとパスワードの組み合わせを使用することで、これにより一か所からIDとパスワードが漏洩するとドミノ倒しのように他のネットサービスでも不正アクセスが行われるという問題です。この不正アクセスの手法は「パスワードリスト方式」と命名されており、ここ数年大きな問題となっています。

37
(画像はLINEのWebサイトより)

今年一番の不正アクセス事案といえるLINEの不正アクセスについても、パスワード使いまわしが大きな原因の一つと考えられています。

対策として、IPAとJPCERT/CCでは下記の3つを提案しています。

(1)紙のメモにパスワードを書いて保持する。
(2)パスワード付き電子ファイル(Excelなど)に保持する。
(3)パスワード管理ツールを使用する。


ぜひ、これらの情報を参考にして、今回こそパスワード使いまわしをしない習慣を身につけてください。

http://www.ipa.go.jp/about/press/20140917.html
http://www.jpcert.or.jp/pr/2014/pr140004.html

(私のコメント)
この問題は本当に長年に渡りセキュリティ界の懸案になっていました。今回、IPAとJPCERT/CCでは「紙」を一番最初の対策に持ってきました。紙にパスワードを保持することについてはいろいろな議論があります。しかし、それでもパスワードが使いまわしされるよりは有益であろうとの判断があったのだと思います。どんな人にでもできるパスワード使いまわし対策ということで、基本に戻ったのだと思います。

個人のお金やはんこをどこに隠しているのかを秘密にするのと同じように、パスワード管理の方法は、その方法を秘密にすることがひとつのセキュリティ対策になります。ですから、自分はこういう方式でパスワードを管理していますというような情報をネット上で見かけることは少ないです。

自分なりのパスワード管理方法を見つけて、実行することは、これからのネット時代を生き残る一つの知恵になります。各自の実践を求めます。

(過去の記事)
最終警告>パスワードの使いまわしはやめましょう
http://www.pmarknews.info/archives/51891461.html
しつこいようですが、パスワードの使いまわしはやめましょう。
http://www.pmarknews.info/archives/51755395.html
パスワードの使いまわしにご注意!
http://www.pmarknews.info/archives/51537988.html

このエントリーをはてなブックマークに追加
2013-08-16_2217
(画面は同社Webサイトより)

株式会社サイバーエージェント(東京都渋谷区)は、8月12日付で、同社の運営するネットワークサービス「Ameba」において、第三者が外部から不正に取得したID・パスワード情報を利用しての不正アクセスが発生したと発表しました。

ただし、今回の不正アクセスにおいては、個人情報の閲覧は発生していないそうです。

同社では、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、他社から流出したIDとパスワードの組み合わせが使用されたものとしており、他のサービスと同じパスワードを使い回ししないように呼びかけています。

http://www.cyberagent.co.jp/info/detail/id=7874
http://www.cyberagent.co.jp/info/detail/id=7919

(私のコメント)
国内著名サイトで「パスワードリスト攻撃(パスワード使い回しによる不正アクセスのこと)」が頻発しています。利用者側としては、とにかく「パスワードの使い回しはしない」ことを徹底してください。

参考記事:「最終警告>パスワードの使い回しはやめましょう」
http://www.pmarknews.info/archives/51891461.html


このエントリーをはてなブックマークに追加
2013-08-09_0820
(画面は同社Webサイトより)

株式会社リクルートライフスタイル(東京都千代田区)は、8月7日付で、同社の運営する「じゃらんnet」において、第三者が外部から不正に取得したID・パスワード情報を利用しての不正アクセスが発生したと発表しました。

不正アクセスにより閲覧された可能性がある個人情報は、利用者の「氏名」「住所」「電話番号」「メールアドレス」「予約履歴」など約2万7千件とのことで、該当する利用者にメールで今回の事件を連絡しているそうです。

同社では、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、他社から流出したIDとパスワードの組み合わせが使用されたものとしており、他のサービスと同じパスワードを使い回ししないように呼びかけています。

http://www.jalan.net/jalan/doc/howto/kokuchi130807.html

(私のコメント)
「パスワード使い回しによる不正アクセス」改め「パスワードリスト攻撃」ですが、国内著名サイトで頻発しています。今回のリクルートライフスタイル社の発表では、事業者側の責任やお詫びというトーンはかなり抑えられたものとなっています。利用者側としては、とにかく「パスワードの使い回しはしない」ことを徹底するしかないと思います。

参考記事:「最終警告>パスワードの使い回しはやめましょう」
http://www.pmarknews.info/archives/51891461.html



このエントリーをはてなブックマークに追加
2013-08-08_2326
(画面はGREEのプレスリリース)

グリー株式会社(東京都港区)は、8月8日付で、同社のネットワークサービスに対して不正アクセスが行われ、顧客の個人情報が閲覧された可能性があると発表しました。

流出した可能性がある個人情報は、GREE利用者の「氏名」「ニックネーム」「携帯メールアドレス」「地域(都道府県)」「生年月日」「性別」「コイン履歴情報」など約4万件とのことで、該当する利用者にメールで今回の事件を報告した上で、ログインを停止しているそうです。

同社では、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、他社から流出したIDとパスワードの組み合わせが使用されたものとしており、他のサービスと同じパスワードを使い回ししないように呼びかけています。

http://corp.gree.net/jp/ja/news/press/2013/0808-02.html

(私のコメント)
これまで「パスワード使い回しによる不正アクセス」とタイトルに記載していましたが、これに「パスワードリスト攻撃」という名称がつけられたようですので、今後は表記をこちらに統一します。

このエントリーをはてなブックマークに追加
2013-07-30_1942
(画面はCCCのリリース)

カルチュア・コンビニエンス・クラブ株式会社(東京都渋谷区)は、7月26日付で、同社が運営する「Tサイト」(TポイントのWebサイト)に不正アクセスがあり、Yahoo!Japan IDとの紐付けが行われた後に該当カードが保有していたTポイントが不正に使用されたと発表しました。

26日までの時点で、Tポイントが不正に利用されたと同社に連絡した人が27人だったという。また「Tサイト」においてお客様登録情報の一部を非表示にする措置を講じたため、今回の手口による不正利用については対策を実施済みという。

同社では、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、他の方法で入手されたIDとパスワードの組み合わせが使用されたものとしています。

http://www.ccc.co.jp/company/news/2013/20130726_003665.html

(私のコメント)
本件も「パスワード使い回しによる不正アクセス」の一例になるはずですが、今ひとつ実態がよく分からないです。「お客様登録情報の一部を非表示にする措置を講じたため〜」の部分はどう理解するべきなんでしょうか。(どなたか分かる方は教えて下さい)

Tサイトに関しては、Tポイントカード番号と生年月日が分かれば登録できるので、その穴を突かれたのではと思いましたが、同社ではそういう説明はしていないです。また、全ての利用者がTポイントの残額を日々チェックしているわけではないと思われるので、実際には被害者はもっとたくさんいると思われます。


このエントリーをはてなブックマークに追加
2013-07-30_1007
(画面はNTTコム社のリリース文)

NTTコミュニケーションズ株式会社(東京都千代田区)は、7月24日付で、自社のネットワークサービスであるOCNのサーバーに不正なプログラムが混入しており、最大で400万件のIDと暗号化済みパスワードが流出した可能性があると発表しました。その後の調査により実際に流出があったことが判明し、同社では26日から、OCN IDを使用して他のサービスにログインできる機能を停止しています。

また、LINE株式会社(東京都渋谷区)は、7月19日付で、自社の運営するNAVERサービスのサーバーに不正アクセスがあり、約170万件のメールアドレス、ハッシュ化されたパスワード、ニックネームが流出した可能性があると発表しました。

http://www.ntt.com/release/monthNEWS/detail/20130724.html
http://www.ntt.com/release/monthNEWS/detail/20130725_2.html
http://www.ntt.com/release/monthNEWS/detail/20130726.html (NTTコムのリリース)
http://linecorp.com/press/2013/0719581 (LINE株式会社のリリース)

(私のコメント)
国内の大規模なネットワーク事業者に対する外部からの総攻撃が始まっているという印象を受けます。大規模な認証サーバーを狙い撃ちして情報を持ち出し、そこで得たID、パスワードを使用して「パスワード使い回し」のアカウントを狙って他のサービスに不正アクセスするという手法を取ろうとしているのだと思います。何度でも書きますけど、被害にあいたくないなら「パスワードの使い回し」をしないでください。

http://www.pmarknews.info/archives/51891461.html

ちなみに、今回の流出のケースでNTTコムは「暗号化されたパスワード」、LINEは「ハッシュ化されたパスワード」だったと説明しています。理論上はとりあえず安心していいはずなのですが、こんなに大量に盗み出されたとすると、大量の高速コンピュータでありとあらゆる可能性を試した場合には、暗号化やハッシュ化のロジックが破られる危険性がないとは言えないと思います。(暗号化とハッシュ化の違いは下記のURLをご参照ください)

http://www.pmarknews.info/archives/51740255.html



このエントリーをはてなブックマークに追加
2013-07-23_0948
(画面はニフティのプレスリリース)

ニフティ株式会社(東京都新宿区)は、7月17日付で、同社のWebサイトに対して不正なログインが行われ、顧客の個人情報が閲覧された可能性があると発表しました。

流出した可能性がある個人情報は、ニフティ利用者の「氏名」「住所」「電話番号」「生年月日」「性別」「秘密の質問と回答」「ご契約状況」「ご利用料金」「メールアドレス」約2万1000件とのことです。

同社では、該当する利用者にメールで個別に連絡を取り、パスワードの再設定を呼びかけるそうです。また、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、何らかの方法で(他社より)入手されたIDとパスワードの組み合わせが使用されたものとしています。

http://www.nifty.co.jp/cs/newsrelease/detail/130717004246/1.htm

(私のコメント)
これも「パスワード使い回しによる不正アクセス」の一例です。まだまだ啓発が必要だと思いますので、当分の間、同様の事例について積極的に本Blogで取り上げようと思います。

↑このページのトップヘ