JAL事件を教訓に、専門家の解説を補足してみる

IT ほ 報道 て テレビ

NEWS WEB ▽相次ぐ不正アクセス ▽JR山田線 ▽受験生とプレッシャー

NHK総合 東京
2014/02/04 23:30:00
(00:30:00)

 

セキュリティ専門家の辻伸弘氏が、2月4日のNHK「NEWS WEB」に23:36分頃から約10分間登場し「うちのお母さんでもできる」方法を含め、セキュリティ対策を紹介していた。

ガラポンTV所有者の方への頭出しリンク→ http://site.garapon.tv/g?g=1SJP7FE01391524200&t=360

 

以下は、番組に対しての私の勝手な補足。

 

【1.JALの事件の解説】

複雑なパスワードを設定できなかったJALに問題はある。

しかし、複雑なパスワードを設定できるのに、単純なパスワードにしている人もいるのではないか。

http://www.atmarkit.co.jp/ait/articles/1102/04/news117_2.html

 本当にパスワードが破られる可能性を減らしたいならば、定期的な変更よりも、パスワードの桁数と使用可能な文字種を増やして複雑性を持たせる方が有効だ。また、一定数ログインに失敗するとユーザーをロックアウトするアカウントロックも有効ではないかと考える。 

同じIDに対して何度かパスワードを間違えると、不正なログインの可能性があると判断して、そのIDではログインできなくなるしくみはよくあるが、逆にパスワードを固定して、次々にIDを変える方法だと、システム的な対応は難しくなる。これを「リバースブルートフォース攻撃」という。この場合、固定するパスワードは単純な弱いパスワードにすることが多いので、その意味でパスワードは複雑にしておくべきなのだ。

JALの不正ログイン事件について徳丸さんに聞いてみた

http://blog.tokumaru.org/2014/02/jal.html

リバースブルートフォース攻撃はパスワードを固定するので、攻撃に使うパスワードは「ありがちなパスワード」使うと効率的です。

 

 【2.強いパスワードの作り方】

辻氏が紹介していた強いパスワードの作り方

「usagioishikanoyama」(兎追いしかの山)を

「u5@gi0i5hik@n0y@m@」にする方法については、

知っている人は知っているが、知らない人は知らないと思う。

分かりやすいと思ったページを二つ挙げる。

 

強力なパスワードの作り方と使い方(1 / 2)  

http://blog.goo.ne.jp/yh-asaka/e/cca7093a1d851cc9aecaba356804be6b

 "My son Aiden is three years old" から「M$8ni3y0」というパスワードへ

 

パスワードの「使い回し」はやめましょう

http://www.ocn.ne.jp/info/announce/2011/05/23_1.html

 「雀の子そこのけそこのけお馬が通る」から「SzmnK587」というパスワードへ

 

【3.IDとパスワードの使い回しをやめるには?】

どこかのサイトでID(メールアドレス)とパスワードのリストが漏れると、その組み合わせで別のサイトにログインされてしまう可能性が高まる。実は最近報じられている「不正アクセス」にはこのケースも多く、企業側にはほとんど非はない。

http://www.atmarkit.co.jp/ait/articles/1307/24/news006.html

この(注:イーブックイニシアティブジャパンの)リリースが素晴らしいのは文章だけではない。内容もだ。前回も紹介したとおり、リリースには、何回のログイン試行でいくつのアカウントが不正ログインされたかといった情報が詳細に記されていたのである。過去を振り返っても、ここまで詳細な内容を開示した組織はまれだろう。 

これを防ぐには、IDとパスワードの使い回しをやめるしかないが、それは大変だ。

 

番組では「紙にメモする」という方法も紹介されていた。

そのメモに全てを書かなければ、落としても即アウトにはならない。

橋本奈穂子さんが「ABC」と紙に書き、実際のパスワードは「naokoABC」にする、

これは単純すぎるが、工夫の考え方は合っている。

 

たとえば、

 アマゾンなら「naokoAmaz0n」

 楽天なら「naokoRaku10」

これだけでもかなり違う。

 

全てのサイトで使い回しをやめるのは無理でも、せめてGmailFacebookは別々にしよう。

手の抜き方については、このページが分かりやすい。

 

「賢い」情報管理で安全と便利を両立 ツイッター個人情報流出の教訓(下) 

http://www.nikkei.com/article/DGXNASFK2600O_W3A220C1000000/

 

番組ではパスワード管理ソフトについても触れられていたが、NHKなので商品名は出せない?

辻氏おすすめのパスワード管理ソフトは以下のようだ。

http://www.atmarkit.co.jp/ait/articles/1211/01/news040.html

Windows用パスワード管理ソフト「KeePass」

 これに、Firefox用の「KeyFox」や、IE用の「KeeForm」を組み合わせると、フィッシング(偽サイト)対策にもなる。

・1Password

 辻氏が執筆時点で使っていたもの

 

また、5IDまで無料、それ以上有料のサービスとして

トレンドマイクロの「パスワードマネージャー」http://safe.trendmicro.jp/purchase/pm.aspx

NTTコミュニケーションズの「マイパスワード」https://506506.ntt.com/internet/mypassword/

がある。これはパソコン版とスマホ版があるのがメリットかも。

 

あと、パスワードだけではなくメアドも本当は使いまわしたくない。

メールアドレスをアマゾン用、楽天用……と、サービス毎に使い分けるために、

わたしは「マイアドレスプラス」というサービス(有料)を使っている。

フリーメールアドレスをたくさん取得するのと比較して、新しいアドレスを利用開始するまでの時間が短くて済み、メールをチェックしたり、メインのメールアドレスに転送したりする手間もないのがポイント。

http://service.ocn.ne.jp/option/myaddress/

 

ただ、ここまで書いたどのサービスにも言えるのだが、怖いのはサービス終了である……。

きちんと紙なりExcelなりで管理しておこう。

 

【おまけ】

2ちゃんねる実況から引用。

734 : 公共放送名無しさん[sage] 投稿日:2014/02/04(火) 23:46:10.15 id:C1DrGtSv [23/24回]

せっかく決めても 年に何回も変更させられたんじゃあ いいかげん自分ルールのネタも尽きると思うw

http://www.logsoku.com/r/livenhk/1391511445/734

 パスワードを定期的に変更させられるシステムも多いが、それが使い回しの原因になるのでは、元も子もない。

http://www.atmarkit.co.jp/ait/articles/1102/04/news117_3.html

 皆さんもこの機会に、自分が扱うパスワードを数えてみてほしい。きっと、1つや2つではないはずだ。筆者もざっと数えただけでも軽く10は超えてしまっている。システム管理を担当していれば、さらにサーバ、ネットワーク機器などのパスワードまで加わることになる。

 こんな状況で、「これら複数のパスワードをすべて定期的に変更しろ」と言われたらどうするだろうか? 

辻氏の記事には他にも面白いものがたくさんあるので、興味ある方は是非。

 

辻伸弘 as セキュリティ・ダークナイト

http://www.atmarkit.co.jp/fsecurity/index/index_dknight.html

 

フィッシング(偽)サイトが簡単に作れ(注:犯罪です)、それを見破るのが容易ではないこと

http://www.atmarkit.co.jp/ait/articles/1204/10/news123_2.html

 

ハッカーへコンタクトしてみた結果

http://www.atmarkit.co.jp/ait/articles/1301/07/news011.html