プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2013年11月

2013-11-20_1457

米Adobe社は、10月以降、自社のカスタマーデータベースに不正アクセスがあり、顧客のクレジットカード情報を含むアカウント情報が大量に流出したと発表しています。

同社の公式発表によると、流出したのは290万件であり、該当する顧客(日本人も含む)には電子メールで案内しているとのことです。しかし、実際には最大で1億5千万人分のアカウントが流出しているという情報があり、それらしい生ファイルがネット上に流出しているそうです。

●取り急ぎ、気をつけていただきたいことは下記の5つです。

(1) Adobe社にメールアドレスとパスワードを登録したことがある人は、自分のその情報が流出している可能性が高いと思ってください。

(2) Adobe社からのメールが来ていないか、チェックしてみてください。メールが届いている場合は、指示にしたがってパスワード変更などを行ってください。

(3) Adobe社にクレジットカード情報を登録した人は、不正利用がないかどうか継続的にチェックしてください。

(4) Adobe社に登録したのと同じパスワードを、他のサービスにも使いまわしていると思われる人は、早急にその他のサービスのパスワードを変更してください。

(5) あとは自分に被害がないことを祈ってください。

●流出した1億5千万件のアカウント情報を解析した結果が公開されています

やはり「123456」「password」「qwerty」など、よくあるパスワードに設定している人がたくさん見つかったとのことです。今回の調査ではトップ100まで解析されているので、さらに詳しく見ることができます。

それによると、「asdfgh」とか「qwertyuiop」「1q2w3e4r」「753951」といったものも多数発見されています。少し実際に入力してみるとわかると思いますが、これらはキーボード配列を活用して編み出されたものです。

このような結果を見てみると、キーボード配列から文字列を編み出すという手法は、みんながやっているために容易に類推できますので、パスワードに使用するべきではないことが分かります。このようなパスワードを使用している人は、すぐに異なったパスワードに変更することをオススメします。

●1億5千万件の情報を使用したパスワードリスト攻撃が始まっているようです

同じパスワードを複数のサイトで使いまわしている場合、一つのサイトからパスワードが流出したら他のサイトでも使われてしまう。この当然の原理を応用したのが「パスワードリスト攻撃」ですが、今回は1億5千万件も流出してしまいましたので、これを使えばかなりいろいろなことができそうですよね。

既に今回の情報を使用したパスワードリスト攻撃が著名なサービスには行われているようで、Facebookでは、今回流出したパスワードを自社サービスでも使いまわしている利用者のアカウントを一時停止してパスワード変更をさせるようにしたそうです。

とにかく、上記(4)の「Adobe社に登録したのと同じパスワードを、他のサービスにも使いまわしていると思われる人は、早急にその他のサービスのパスワードを変更してください」を実施していただきたいと思います。

Adobe社からのアナウンス
http://helpx.adobe.com/jp/x-productkb/policy-pricing/customer-alert.html

アカウント情報の解析結果
http://stricture-group.com/files/adobe-top100.txt

Facebookのアカウント停止に関する記事
http://www.sophos.com/ja-jp/press-office/press-releases/2013/11/ns-facebook-locks-accounts-using-same-passwordsemails-on-adobe.aspx

(私のコメント)
Facebookが先回りしてアカウント停止したというニュースに関しては、さすがFacebookだなと思いました。全てのサービスでこういうことができれば、パスワードリスト攻撃に対する一定の対策になると思いますが、それも難しいことかなと思いました。



10月下旬から導入が始まった三井住友銀行SMBCダイレクトのパスワードカードが届きましたので、レポートします。

43

パスワードカードは普通郵便で送られてきます。書留などで送る必要はないということのようです。

35

これがパスワードカードです。ストラップがついてきます。

33

隣が以前の暗証カード(クレジットカードと同サイズ)です。見て分かるように一般的なカードよりもサイズは小さいです。

37

カードケースに入れたところです。写真では縦にしていますが、横にすると通常のカードの代わりに収まります。ただし、厚さが3ミリありますので、この方式でメガバンクが揃い踏みしたりするとカードケースがパンパンになってしまいそうです。

パスワードカードを利用するには、電話を使用した初期登録が必要です。SMBCダイレクトにログインすると、初期登録の画面が出てきますので、画面の指示にしたがって操作すると、予め登録してある電話番号に自動的に電話がかかってきますので、音声の指示にしたがってWeb上に表示された4桁の番号を入力すると初期登録完了です。

その後は、従来の「第2暗証」の代わりにこのパスワードカードを使用することになります。ログイン時にも使用するようにすることもできるようです。レポートは以上です。

(関連記事)
三井住友銀行が暗証カードを廃止し、ワンタイムパスワード方式に統一
http://www.pmarknews.info/archives/51911616.html

↑このページのトップヘ