まりふのひと

個人ID盗難、パスワード使い回しが被害招く/「見て感染」サイト急増…トヨタ・環境省も被害

三男の家(相模原市)で読んだ日本経済新聞 2013/8/14 朝刊

  • 個人ID盗難、パスワード使い回しが被害招く − 新たな手口、自衛が不可欠
     サイバーエージェントは12日、同社の会員制サイト「Ameba(アメーバ)」でID24万3266件の不正ログインがあったと発表した。ほかにも楽天任天堂などから利用者のIDが流出する事件が相次いでいる。「パスワードリスト攻撃」。あるウェブサイトへの攻撃で手に入れたIDやパスワードを他のサイトへの侵入に使う手口だ。同じID・パスワードを使い回す利用者が多いことが背景にある。

この中に、「IPAが呼びかけている‥‥」とあったので、IPAのサイトを検索した。

  • 全てのインターネットサービスで異なるパスワードを! (IPA/2013年8月の呼びかけ)
     〜 多くのパスワードを安全に管理するための具体策 〜
     パスワードリスト攻撃の被害報道が続いています(表1参照)。不正ログインが成立した率は低いものの、ログイン試行回数が多いほど、不正ログイン成立の実件数はかなりの数に上ってしまうことが分かります。
     パスワードリスト攻撃とは、悪意のある者が、何らかの方法で事前に入手したIDとパスワードのリストを流用し、自動的に連続入力するプログラムなどを用いてそれらIDとパスワードを入力することで、ウェブサイトにログインを試みる手口です。ここでログインが成立したIDとパスワードの組み合わせはその後、他の不正アクセスに悪用され、最終的には直接金銭的被害に結びつくものと考えられます。
     このような攻撃が成立する背景として、“同じパスワードを様々なインターネットサービスで使い回す利用者が多い”ということが挙げられます。パスワードリスト攻撃はこの状況に目を付けた攻撃手法と言えます。
     多くのサービスで異なるパスワードを設定していると、すべてのIDとパスワードを暗記することは困難で、何らかの形でリストとして保持することが現実的な解となります
     紙のノートやメモ帳などに保持していても良いのですが、リストが肥大化した際のメンテナンス性を考慮し、IDとパスワードを記載したリストを「パスワード付きの電子ファイル」として保持することを勧めます。
     具体的には、
    1. 表計算ソフトでIDとパスワードのリストを作成する。そのリストを、パスワード付きでファイル保存する。
    2. 表計算ソフトでIDとパスワードのリストを作成し、ファイル保存する。そのファイルを、パスワード付きで圧縮ファイル(zipなど)に変換する。
    3. 「メモ帳」などでIDとパスワードのリストを作成し、テキストファイルとして保存する。そのファイルを、パスワード付きで圧縮ファイルに変換する。
    などの方法があります。


夜、兄貴の家(町田市)で読んだ読売新聞 2013年8月14日 朝刊

  • 「見て感染」サイト急増…トヨタ・環境省も被害] (2013年8月14日 読売新聞)
     官公庁や企業のウェブサイトを見ただけでウイルスに感染するケースが急増している。
     環境省では、光熱費の支出などを入力すると二酸化炭素の排出量がわかる「CO2みえ〜るツール」サイトを3月3日に改ざんされた。12日後にサイト停止するまで約350人が閲覧。同省は企業や自治体41団体には電話で連絡したが、個人利用者は特定できなかったため通知していない。
     閲覧者は、ウイルス対策ソフトを最新の状態にするなどの対策が必要だが、日本セキュリティオペレーション事業者協議会では「サイト管理者がサーバーの弱点を修正し、改ざんを防ぐ必要がある 」として22日、セキュリティーに費用をかけにくい中小企業を対象に無料相談会(info@isog-j.org)を実施するという。


田布施町公共施設インターネット利用の技術責任者として、何かせねばならぬ...