by Hide
クリスマスも過ぎ、いよいよ年末本番となりました。寒さもどんどん増してきて年末気分も盛り上がる今日この頃、皆様いかがお過ごしでしょうか?
年末ともなるといろいろ物騒な事件が多発していますが、現実世界だけでなくインターネットの世界でも同様に事件が起こっているようです!
ある朝、私の友人に下記のようなメールがGoogleから届きました。
「最近、他のユーザーがアプリケーションを使用して Google アカウント ○○○@gmail.com にログインしようとしました。Google では、このアカウントへのアクセスが不正ユーザーによるものであった場合に備え、このログインをブロックしました。詳細については、以下の情報をご確認ください。
2012年12月25日 22時02分00秒 UTC
IP アドレス: 64.183.244.169 (rrcs-64-183-244-169.sw.biz.rr.com.)
場所: Arlington, TX, USA
このログインに心当たりがない場合は、他のユーザーがあなたのアカウントにアクセスしようとした可能性があります。今すぐアカウントにログインして、パスワードを再設定してください。再設定方法については http://support.google.com/accounts?p=reset_pw をご覧ください。
このログインがご自身によるもので、アカウントへのアクセスをこのアプリケーションに許可する場合は、http://support.google.com/mail?p=client_login でトラブルシューティングの手順を行ってください。
今後ともよろしくお願いいたします。
Google アカウント チーム」
あわてて自分のメールアカウントの送信済みアイテムを確認したところ、件名なしでURLだけが記述されたメールが、自分の連絡先に登録されている友人に送信されてしまっていました。
びっくりした友人は、すぐさま連絡先の友人に連絡し事なきを得ました。しかし、彼の手間と要した時間は大変なものになり、また、出てしまったメールは元に戻すことができません。
実は、このGoogleアカウントの乗っ取りは少し前から非常に多くなり、単純なパスワードをハックするようなツールさえ出回っています。(パスワードをハッキングするツールはブルートフォースと言われる総当たり方式で解析するような原始的なものですが・・・)
私の友人でも、ここ数日数名が同じハッキング被害に遭ってしまっていました。
Googleも対策を講じており、ユーザー名とパスワードだけではなくセキュリティコードと呼ばれる2つ目の認証コードを利用する、2段階認証と呼ばれる方式でセキュリティを強化しています。(http://support.google.com/accounts/bin/answer.py?hl=ja&answer=180744&rd=1)
もし、皆さんがこれらの設定を行っていない場合には可能であれば設定を行った方が良いでしょう。
ただし、この2段階認証プロセスを有効にすると、いくつかの不都合が出てくることがあります。詳しくはGoogleのヘルプやネットを検索すると見つかりますが、多くの人が利用していると思われるiPhoneでのメール設定について情報として追記しておきます。
2段階認証を有効にすると、対応していないアプリケーションを利用している場合にはメールを取得できないようになります。その場合には「アプリケーションとサイトを設定する」項目で、「アプリケーション固有のパスワード」を設定する必要があります。これを設定しない場合にはiPhoneのメールアプリでメールを読むことができません。設定の方法は、Googleのヘルプにありますので、参照してみてください。
http://support.google.com/accounts/bin/answer.py?hl=ja&answer=185833
その他にできる対策としては、解析できにくいパスワードを作成して利用するという方法があります。解析されにくいパスワードとは、ある意味「ブルートフォース」のような総当たり方式でパスワードを見つけ出す方法が取りにくいものという事になります。おそらくですが、今回のGmailのパスワードもこのような方法で解析されたものと思われます。
では、どのようなパスワードが良いのかという所ですが、まずはやめておいた方が良いパスワード設定を挙げだしてみましょう。
- 辞書に載っているような文字列は“避ける”
(例えば、cloverとか、silverなどの単語として理解できるもの) - 同じ文字が連続しているような文字列は“避ける”
(例えば、AAAAAAとか111111など) - 大文字だけ、英数字だけ、数字だけなどの「~だけ」文字列は“避ける”
(例えば、SIUDMSMIEや14867193739等のようなパターン) - 身近なものの番号や自分の氏名等をパスワード設定にする事は“避ける”
(誕生日や電話番号など容易に入手できる番号など) - 同じパスワードを複数のサイトやアプリケーションで共有する事は“避ける”
(一つパスワードが漏れてしまった場合、全てのパスワード明らかになるため)
避けるべきパスワードの設定はこれらですが、逆に「こうしたほうがいい」という事もあります。
- 英数字とアルファベット、$記号などの特殊文字を含める
(例えば、$yst3m等の数値とアルファベット大文字小文字を混ぜた文字列) - 大文字と小文字(Aとa等)を含める
(大文字と小文字を分けて理解するパスワードシステムの場合) - 6文字以上の文字列にする
(総当たりする場合でも桁数が多いほど解読に時間がかかる可能性を増やす為) - パスワードを定期的に変更する
(たとえ古いパスワードが漏れてもログインを行う事が出来なうようにする為)
以上のような事を考慮してパスワードを考えることによって強固なパスワードにすることが可能です。
が、現実問題として上記のような内容でパスワードを考えることは非常に難しいと言えます。そもそも覚えにくい為、せっかく強固なパスワードとしても忘れてしまったり、ログインを行うことができない等、本末転倒な状態になる可能性があります。
これらの問題を解決するにはパスワードマネージャーなどの機能を利用することが考えられます。ウェブルートのセキュアエニウェア コンプリートには、パスワードの管理を行う機能が標準で搭載されています。
個別のIDやパスワードをサイトごとに記憶しておいて、簡易なログインを提供することが出来たり、強固なパスワードを自動的に生成する機能を搭載しています。
また、今回のアカウントハッキングはどちらかとういうとパスワードの解析によってアカウントのハイジャックが行われた状況でありそうですが、マルウェアを利用してユーザー名やパスワードの窃盗が行われる場合も考えられます。このようなことも考えると、やはり弊社の提供しているようなアンチマルウェア製品にて自らのセキュリティを向上させることを考えてみても良いのではないかと思います。
ウェブルート セキュアエニウェアではトライアルを提供していますので、是非お試しください。企業向け: http://www.webroot.com/customerSupport/trialRegistration.php?trpd=WSAB&loc=JPN&lang=ja
個人向け:
http://www.webroot.co.jp/Ja_JP/consumer-trials.html
年末は是非あなたのセキュリティを強化して、安心してインターネットを楽しんでください。
では、良いお年を!
ウェブルート ブログ 日本版 