わたしの知る限りでは海外のwebサイト経由でクレジットカード情報が漏れてしまったという人を何人か知っています。
1人ではありませんよ?『複数人』です。
海外のwebサイトはウィルスの温床です。ひどいインターネッツですね。
わたしはシステムエンジニアでセキュリティに関する知識もそれなりにあります。
情報処理の国家試験において、セキュリティの勉強というのはハッキング手法を知ることでその防衛策を知ります。
ちょっとむずかしい話かもしれませんが、少しだけしっておいたほうが良い。
ぜひハッキング方法を知って何に注意すればよいかを知っていただけるとうれしいです。
クレジットカードの情報漏洩
そもそもクレジットカードの情報はどのようにして漏れるのか?もしかすると『ハッカーすごい、こわい』なんて思う人もいるでしょう。
しかし、たいていの場合は自己管理の甘さから情報が漏れています。
ID・パスワードからクレジットカード情報が漏れる
クレジットカードの情報がどのように漏れているかというと、そのクレジットカードを登録しているwebサイトのID・パスワードが漏れているということです。
大手のネットショップやクレジットカード会社だと、情報が漏洩したときは漏れましたと連絡が来ますよね。
そういった連絡があったときには必ずID・パスワードは変更し、クレジットカードも破棄しましょう。
ここで着目すべきは漏れたことではなく、おそらく漏れたことにすら気づいていないwebサイト・ネットショップがあるということです。
小規模のネットショップだとシステム管理も甘く、漏れたことにすら気づいていない、もしくは漏れているけど内緒にしている、なんてこともあるかもしれません。
だから、海外の野良ネットショップではクレジットカードの入力をしてはいけないんです。少なくともPayPalは通すようにしましょう。
別のサイトから漏れて、パスワード使い回しで漏れる
たとえば、あなたのAmazonのID・パスワードが漏れたとしましょう。
何が起こるかと考えれば、Amazonで不正に買い物されてしまう、といったことが予想できますよね。
でも本当におそろしいのはそこではなく、ハッカーは漏れたID・パスワードを使っていろんなwebサイトにログインを試みます。
1つしか漏らしたつもりがないのに、根こそぎ情報が抜き出され、複数クレジットカードの番号が盗まれてしまうということもあります。
そしてパスワード使い回しをしている人が本当に多い!信じられないぐらい多いんです!あなたは大丈夫ですか?
最近のウィルスソフトにはパスワード管理機能がついたものがありますので、そういったものを必ず利用しましょう。
別途ライセンスを購入する必要がありますが、ウィルスバスターはパスワード管理機能『パスワードマネージャ』があります。
インターネットのセキュリティは、脆弱(ぜいじゃく:弱くて脆い)である
セキュリティを学べば学ぶほど、脆弱であることがよくわかります。
マリオカートで例えると、コースはしっかりしているけどガードレールが全くないレインボーロードみたいなものです。
守る側はすべてを守らないといけないけど、攻める側は1点攻めればいい。
何が言いたいかというと、情報は漏れること前提でインターネットを楽しみましょう、ということです。
たまに『俺はウィルスなんてかからないぜ!(どやっ』という自称スーパーハカーがいたりしますが、そういう人ほどセキュリティの認識が甘いです。
もちろん、現役のSEであるわたしは情報が漏れること前提でインターネットしてます。注意していることは、下記です。
- パスワードはパスワード管理ツールを使って暗号化して管理する(ウィルスバスターなど)
- 大切なデータが入ったパソコンでは怪しげなwebサイトは開かない(Amazonなど大手webサイトのみにする)
できれば怪しげなサイトは別のPCを使ったほうが良いです。
どうしてID・パスワードは漏れるのか?
IDとパスワードは漏れやすい人と漏れにくい人がいます。どういう差なのかというと、パスワードの決め方によります。
パスワードを盗む、これをパスワード破り、パスワードクラックなんて呼ぶのですが、定石があります。
簡単にイメージできるのが、パスワードの総当りです。たとえば、Amazonのログイン画面でa,b,c,d…と1文字ずつ入力していくやつ。総当たり攻撃、ブルートフォースアタックと呼ばれます。
でもこれじゃ効率が悪いですよね。何億通り試せばいいんだって話です。
そこで、人はパスワードを決めるとき覚えやすいように単語を含めるという習性を利用した辞書攻撃、ディクショナリーアタックというものがあります。
こんなパスワードにしていたりしませんか?
- user
- administrator
- password
まぁさすがにここまで露骨なのはいないと思いますが、何かの単語を使っている人は多いでしょう。辞書に登録されている単語を全通り組み合わせてパスワードクラックしてきます。
…でも、Amazonのログイン画面に1つずつ入力していたんじゃ、全通り試すのに何年もかかるんじゃないの?と思われるでしょう。
ところが、ハッカーはあなたとAmazonの間に流れる暗号化したパスワードをキャッチし、その暗号化されたデータの解析を試みます。レインボーテーブルというやつです。マリオカートっぽい名前してますが、パスワード破りの真骨頂はこの必殺技でしょう。
時間さえあればパスワードクラックできてしまうんです。
ID・パスワードを守るには?
制限いっぱいの長い文字列
webサイトにてID・パスワードを登録する時には、必ず制限一杯の文字列を入力しましょう。100文字いけます!って言われたら100文字入力します。
パスワードは長ければ長いほど、パスワードクラックするのに時間がかかります。(クラックできないのではなく、クラックに時間がかかる、というのがポイント)
パスワードの文字列は絶対にランダム!
パスワードクラック手法を紹介しましたが、たいていの人は意味ある単語をパスワードに使います。覚えやすいから。
ハッカーはそこを狙って意味ある単語を総当り的に組み合わせてパスワードを盗もうとします。だから絶対にパスワードはランダムでなければならないのです。
パスワード使い回しは絶対ダメ!
1つのID・パスワードが漏れれば、すべてのサイトが漏れたのと同じことになります。
パスワードを覚えられないから使いまわしをしてしまうのでしょうけれども、パスワード管理ツールの導入を検討してください。
パスワードは定期的に変更する
よくパスワードを定期的に変更してくれ、とwebサイトから連絡が来ますよね。
これはなぜかというと、どんなパスワードでも時間をかければ解析できてしまうためです。パスワードを長くしたりランダムにしたりすれば、パスワードクラックされるまでの時間は稼げますが、絶対に守ることはできません。
しかし、ハッカーが解析に時間をかけている間に、パスワードを変更・更新してしまえば、パスワードクラック作業は最初からやり直しになります。
だから、パスワードの定期的な変更は大切なんです。
ワンタイムパスワードが使えるなら絶対に使う
現時点でもっともセキュリティが高いのはワンタイムパスワードです。ガチで。
ネットバンクなんかではほぼ確実にありますよね。利用できるなら必ず利用してください。
上述しましたが、パスワードは時間さえかければクラックできてしまいます。なので、有効期限付きのパスワードってやつはかなり有効な手段なんです。100%安心というわけではありませんが。
秘密の質問には無関係の答えを用意する
最近はSNSが普及して、個人情報を公開する人が多いですよね。facebookなんかには名前、生年月日を公開している人が多いです。
webサイトによってはパスワードを忘れてしまった時のために『秘密の質問』という項目があったりします。たとえば『あなたのペットの名前は?』とか。
秘密の質問:あなたのペットの名前は?
に対して、
答え:ポチ
とか。自分のペットの名前なんて公開したつもりがなくても、どこかで漏れているかもしれません。もしかするとあなたのことをよく知っている近所の人がこっそりパスワードクラックするかもしれません。
実はこれ、バカ正直に回答を用意する必要なんてないんです。
『あなたのペットの名前は?』に対して、わたしの用意した回答は『ろーとじーじかんひろがるそうかいかん』という回答にしたりします。
『ロートZ!時間・広がる爽快感』、これはロート製薬の目薬でキャッチコピーまで含めた文字列を秘密の質問の回答にしています。
つまり!秘密の質問にはまったく無関係の回答を用意しておくんです!まぁこれで秘密の質問からパスワードが漏れることはないでしょう!
まとめ
- アメリカのよく知らないwebサイトはウィルスの温床
- 情報は漏れていること前提でインターネットを楽しむ
- パスワードは時間さえあればクラック可能
- 自衛の手段はウィルスソフト・パスワード管理ツールの導入
今回はよく言われていること、当たり前のことを書きましたが、ほとんどの人がなぜそうしなければならないのか、理由を知らないことでしょう。
理由がわからないとめんどくさく感じたり、セキュリティを甘く考えてしまったりします。やっぱり学ぶって大切です。
わたしはウイルスバスターというウィルスソフトを使っていますが、一般的な人向けにはウィルスバスターがおすすめです。
ライセンスは別ですが、パスワード管理ツールもありますからね。万人受けするのがウィルスバスターです。
パスワードを覚えきれないから覚えやすい単語を使ったり使いまわしたりしてしまう。これは本当にマズイです。
できるだけ早めにパスワード管理ツールは導入することを強くおすすめします。