あなたは自分のスマホやタブレットにロックをかけていますか?中には、タブレットのパスワードに家族にとって大事な日を設定している人も……。今回はサレ妻リナ(@rina_saretsuma)さんの体験談をもとに描かれた大人気マンガシリーズ、『娘が初めてママと呼んだのは、別の女でした』をご紹介します。夫への違和感……とあるキッカケから夫の言動に違和感を抱くようになり、浮気を疑い始めたリナ。そんなある日、彼女は掃除中に夫のタブレットを発見して……?ロック解除を試みることにパスワードの数字は?娘の誕生日!娘の誕生日でロック解除できたことで一瞬安心しつつも、何も出てこないことを祈るリナ。しかし知らない女の名前A子とのやり取りを見たリナは、娘と3人で会っていたことを知り絶句するのでした。この漫画に読者は『パスワードが娘の誕生日なのは喜んでいいのか……少し複雑な気もしました。』『娘の誕生日をパスワードにして浮気相手とのやりとりをしているという夫に理解ができません。上辺だけ家族思いだったのだと落胆すると感じました。』『家族を大事に思ってそうなのに、なんで浮気なんかするのかな。』など、複雑な感情を吐露する声が多く集まりました。家族を裏切り……子どもの誕生日をパスワードに設定しておきながら、浮気していた夫。リナは悔しさのあまり涙を流しますが、娘の無邪気な姿を見て浮気の証拠集めを決意。夫と浮気相手から絶対に慰謝料をとると心に誓い、証拠集めの準備を開始します。タブレットのパスワードを娘の誕生日にする浮気夫……、あなただったら、こんなときどう対処しますか?(MOREDOOR編集部)(イラスト/@anerie_pic)※本文中の画像は投稿主様より掲載許諾をいただいています。※作者名含む記事内の情報は、記事作成時点のものになります。
2023年11月03日Wi-Fi(無線LAN)を初めて使用する際に、そのWi-Fi専用のパスワードを入力しなくてはなりません。Wi-Fiのパスワードは、Wi-Fiのルーターの裏側に記載してあります。しかし、Wi-Fiのルーターの裏側には、アルファベットや数字がたくさん並んでいて、どれがパスワードなのか、とても分かりにくいのです。日々のほっこり笑える家族のエピソードをコミックエッセイとして投稿している三本阪奈(mimoto19hanna)さんが、自身のInstagramで『Wi-Fi接続のパスワード』に関するエピソードを公開しました。「それはパスワードじゃない」娘のまさかの間違いに抱腹ある日の出来事。三本さんの娘であるケイさんは、三本さんのタブレットを借りて、Wi-Fiの繋ぎ方を三本さんに尋ねました。三本さんは、Wi-Fiのルーターの裏側にあるパスワードを入力するように伝えます。しかし、Wi-Fiのルーターの裏にはアルファベットや数字がたくさん並んでいて、ケイさんにはどれがパスワードなのかが分かりませんでした。再度、三本さんに訊くと、三本さんは「mからはじまるパスワード」と答えます。ようやくパスワードを見つけた様子のケイさん。実際にパスワードを打ち込んでみますが、なぜかWi-Fiは繋がりません。パスワード間のスペースを空けてみても、やはり繋がらず...。不思議に思った三本さんが、ケイさんが打ち込んだパスワードを覗いてみると、そこには『MADE IN CHINA』の文字が。なんとケイさんは、『Wi-Fiのルーターの製造地』を入力していたのです!この投稿に、読者からは「声だして笑いました」「可愛すぎます!」などのコメントが寄せられていました。皆さんも、Wi-Fi接続のパスワードを入力する際は、間違えて『Wi-Fiのルーターの製造地』を入力してしまわないように、注意してくださいね...![文・構成/grape編集部]
2023年10月08日皆さんは、恋人やパートナーの束縛に悩んでしまったことはありますか?今回は、怖すぎる束縛彼女についてのエピソードを紹介します!彼女がパソコンのパスワードを要求浮気を疑ってる様子異常に激怒する彼女浮気を疑ってしつこい!あまりのひどさに別れを決意浮気を疑って、ついにパソコンまで壊してしまった彼女。彼も、彼女の束縛に我慢の限界に達してしまった様子。嫌な気持ちにならないよう、お互いに配慮することができたら理想ですね。※こちらは実際に募集したエピソードをもとに記事化しています。原案:愛カツ読者編集:愛カツ編集部
2023年10月05日銀行口座や保険、スマートフォンなど、あらゆる場面で設定が必要な、パスワード。昨今、「パスワードの使いまわしは危険」といった注意喚起がされています。パスワードを使いまわしていると、万が一情報が漏洩してしまった際に、同じパスワードを設定しているほかのサービスも、芋づる式に不正ログインされてしまう可能性があるためです。使いまわしていなくとも、単純なパスワードだと推測されてしまうリスクも…。利用するサービスごとに、ある程度複雑なパスワードを作成することが、推奨されています。すっきり見やすい、パスワードの管理方法を紹介複数個パスワードを用意すると、ある悩みが生まれる人が多いのではないでしょうか。それは、パスワードの管理方法。利用するサービスが増えるほど、覚えておかなければならないパスワードの数も増加します。頭ですべてを記憶できればよいのですが、そううまくはいかないものです。そこで、とらちゃん(rs_lifestyle__)さんは、『パスワード管理ファイル』を考案し、Instagramで紹介しました。用意するものは、100円ショップで購入できる3つのアイテム。リングファイルと、リングファイル用の名刺ホルダー、罫線入りの名刺サイズのカードです。作り方は簡単です。罫線入りの名刺サイズのカードに、サービス名やID、パスワードを記入し、名刺ホルダーに入れていくだけで、完成!ページごとに項目を分けると、後からでも見やすくなります。データを作成できる人は、自作して印刷することで、見た時により分かりやすくなるかもしれません。大体のサービスのパスワード管理に共通するよう、ID、パスワード、登録しているメールアドレス、メモの4項目を作っておくとよいでしょう。このファイルを作ることで、覚えておかなければならないパスワードが増えても、しっかり管理できそうですね!【ネットの声】・追加も削除も簡単にできそう!・これなら差し替えができて、めっちゃいいなぁ。・すっきり探しやすそう。感動!パスワード管理用の、ノートなどの商品も販売されていますが、パスワードの変更やサービスの利用をやめた時に、書き換えたり消したりしなければなりません。また、スマートフォンのメモ機能やアプリで管理する方法もありますが、操作ミスによって削除してしまったり、スマートフォンを落としてしまったりした時のことを考えると、不安に思う人もいることでしょう。投稿者さんが紹介した方法であれば、パスワードを記載したカードの位置を変えたり、ページごと差し替えたりと、自分が見やすく、探しやすい『パスワード管理ファイル』を作ることができます!しかし、このファイルを他人に見られたり、盗まれたりすると大変なので、投稿者さんは「パスワードを若干暗号化することをオススメする」とつづっています。自分や家族にだけ分かる場所に保管するなど、ファイルの管理には十分気を付けてくださいね。「IDやパスワードを忘れてしまって、サービスにログインできない…」という経験をしたことがある人は、試してみてはいかがでしょうか。[文・構成/grape編集部]
2023年05月10日このお話は作者3chaさんに寄せられたエピソードです。登場人物の名前など、一部脚色を加え漫画化しています。■前回のあらすじ妻のスマホでメッセージを確認すると、『びい男(客3)』との間で「会いたい」「愛してる」といったやり取りがされていた。太郎はゾッとしながらも、さらなる情報を入手するため妻のパソコンを調べることに…。 パスワードを設定し直してまで、パソコンを見ようとする夫の執念。果たして、何か収穫はあったのでしょうか…。次回に続く「僕は妻の浮気を疑っている」(全43話)は22時更新!
2023年04月27日■前回のあらすじ弁護士にも無事相談ができ、周りに頼ってよかったと感謝の気持ちを抱く花子。しかし家に帰れば、すっかり心を閉ざした夫の姿が…。そんな夫を見て、なんとか証拠を見つけるため、家中を捜索することに決めます。■まずは書類を確認すると…■まさかの結婚記念日…どんなに証拠を探しても、何も見つけられない花子。果たして怪しいメールを見つけられるのでしょうか?次回に続く「見つからない不倫の証拠」(全41話)は21時更新!
2022年05月21日大人気サレ妻シリーズ、今回はサレ妻まゆ(@sarezuma_mayuuuu)さんの投稿をご紹介!「夫が妊娠させた相手は部下でした」第3話です。夫が寝てる隙に携帯をチェックしたものの、何も出てきませんでした。もしかしたらと思い、次は社用ケータイをチェック…!?社用ケータイ出典:instagramあれ??出典:instagram携帯を戻そうとしたら…出典:instagramは???出典:instagramパスワードがわからず、中を確認できなかった夫の社用携帯。しかしまさかのタイミングで女からの連絡があり、衝撃の内容を見てしまいました…!次回の配信もお楽しみに!(lamire編集部)(イラスト/@sarezuma_mayuuuu)本文中の画像は投稿主様より掲載許諾をいただいています。"
2022年03月31日体でなんとなく覚えているパスワードですが、入力時に「ド忘れ」することも。その対策はやっぱりコレだよね…という話です。■パスワードをド忘れでピンチ!の後は…誰も部屋に入らないしね(そういう問題か?)。アナログに落ち着く(安心感)。パソコンだけじゃなくて、スマホのパスワードも文字列を覚えるより打つ場所を体が記憶してて、パパーって指が動きません?で、いざ「パスワードなに?」って聞かれると、「あれ?なんだったっけ?」ってなるの(汗)。そう考え出すと、急にパスワードがわかんなくなって打てなくなっちゃうのよ。パソコンのショートカットキーもそう。保存やコピペくらいはすぐ思い出すけど、拡大縮小キーや選択範囲をいじったりするのが、たまに「あれ?」ってなるときあるよ(汗)。人間の脳って不思議…(か、加齢の問題じゃないよね…(震))。みなさまはパスワード、どんな管理してますか…。
2020年06月06日彼の浮気が発覚したきっかけとして、一番多いのが「LINEを見た」というもの。LINEを見ること自体は決して推奨しませんが、気になるのがどうやってパスワードを開けたのかということですよね。浮気男は高確率でLINEにパスワードをかけているものですから。体験者に聞いた「どうやって解読したんですか?」と探偵目線でアドバイスをお届けします。■ ちょっと「エロい」暗証番号のパターン「彼が浮気してるかも〜っていう話を飲み会でしたら、年配のおじさん上司が『男なんて1919(イクイク)とか6969や9292(シックスナインやクンニなどの体位名から)とかエロい暗証番号にしてるやつが多いよ』と言われて。まさかなーとは思ったんですが本当に開いてしまったんです」(30歳/アミューズメント施設勤務)この話、筆者も聞いたことがあります。他にもパチンコやスロット好きな男性だと「7777」など。車好きな人だと乗っている車や憧れの車の型番、例えば「フェラーリ488GTB」だったら「0458」など。その人の趣味嗜好が反映された番号にしているパターンは多いでしょう。■ 指の動きを凝視!「LINEを開けるときのパスワードの入力の方向を何回も見てパターンを覚えて、毎日2,3回ずつ試したら開きました」(25歳/受付勤務)何回もパスワードを間違えてログインに失敗すると、制限がかかってしまいますよね。そうならないように地道に地道に試した!という人も。「1212」などの隣り合った番号なら案外あっさり分かるかもしれませんが、数字が離れていると難しいかもしれません。画面を覗き込むと怪しいので、遠くを見ているフリをしながら指の動きだけ観察するのがポイントだそうですよ。■ クレジットカードの暗証番号をチェック「LINEのパスワードとクレジットカードの暗証番号は同じ4桁。ということは暗証番号を使いまわしているのではないかと思って、クレジットカードの暗証番号を打ち込むお店で支払いをするところをチェックして盗み見ました。それで入れてみたらビンゴ!」(23歳/接客業)他にも旅館の金庫や日帰り温泉やゴルフ場の貴重品ロッカーの暗証番号を設定するところを盗み見て覚えた、という人もいます。彼女だからあまり警戒していない……というのもあるとは思いますが、暗証番号の使い回しをしている男性がそれだけ多いということですよね。■ LINEの盗み見はおすすめできません!浮気の有無を確かめるには手っ取り早いですから実際には彼氏のLINEを見てしまう女性は多いと思いますが、「プライバシーの侵害」や「不正アクセス」にあたる可能性もあるので、決しておすすめできる方法ではありません。そんなことをしなくても信用できる相手じゃないと、この先付き合っていても心が休まらないはず。そこから見直してみる必要があるかもしれませんね。(上岡史奈/ライター)(愛カツ編集部)presented by愛カツ ()
2019年02月21日「平成」もあとわずか。2019年5月からはいよいよ新元号となり、また新しい時代の幕開けとなります。平成の30年を振り返ると国内外でさまざまな動きがありました。その中でもインターネットの普及とインフラの整備は平成を象徴する出来事だと思います。その一方、生活シーンでは買い物や口座振り込みなど電子化が進み、確定申告、スマホ携帯の機種変など何かの手続きのたびにIDとパスワードを入れないと、手続きや操作が進まないことも。今回は何かあっても困らないオススメのIDとパスワードの管理術についてまとめてみました。■ ID&パスワード入力で困ったあるあるとは?パスワードは、セキュリティと自分や家族を守る意味でも生年月日や電話番号(実家も含む)にまつわる特定しやすいものを避け、ワンパターンにならない設定を促しています。タカス / PIXTA(ピクスタ)そのため、英数字をランダムに入れた複雑なパスワードの設定にしたことで、後でログインしたときに「パスワードがわからない!」という事態になることもよくある話ですよね。また、さまざまなパスワードを手帳やノート、付箋などに記録していたために、何がどのID、パスワードかよくわからなくなったというケースもあります。NOBU / PIXTA(ピクスタ)特にこの場合で最も困るのが、スマホの機種変更におけるLINEなどSNSのログインID&パスワード。実際、私の友人はLINEのパスワードを忘れていたので、リセットとなり、家族や友人知人に友達設定を泣く泣くお願いする羽目になったそうです。やはり複数のIDとパスワードを持っていると、忘れることもしばしばあります。そして、いざというときに困らないよう、一つのノートにまとめておくとすぐ確認でき、便利です。次の項目ではオススメのパスワード管理グッズについてご紹介しましょう。■ “カモフラージュノート”も!大事なこと・ものは手書きするのがベスト最近は電子化やペーパーレスが進み、筆記用具でメモする機会が減っています。よくIDやパスワードをスマホのカメラ、テキストアプリやワードとエクセルで記録するという方もいますが、それがいざ故障したときを想定すると何も見えなくなり、無駄になることも。そして、災害に遭ったときにすぐに確認できなくなるリスクもあります。それを避けるためにはIDとパスワードを記録するノートを用意し、手書きで記録することがオススメです。IDとパスワード新たに設定または更新したときに「サイト(GmailやAmazonなどの企業や組織)+ID+パスワード」の3つを面倒でも書きましょう。記録するタイミングは設定や更新のすぐあとにやりましょう。後回しにしたら忘れてしまいますから、必ずすぐやることをオススメします。最近は、30~40代の世代に多いのが自分だけでなく、子ども(学校や習い事、試験のオンライン上での結果など)やアナログモードな高齢の親といった自分以外のIDとパスワードの管理もやっているケース。そのような方は、誰のIDとパスワードかわかるとう色別にしたりマークをつけたりして一目でわかるようにする工夫も必要です。最近では、パスワード管理用の専用ノートもリリースされています。筆者がオススメしたいのは、アマノコトワリ舎から発売されている「パスワード管理とカモフラージュも生成もできるパスワードノート」(価格/950円・税別)です。ノートにはパスワードに関するアドバイスが書いてあるので、便利です!簡単にパスワードをカモフラージュできて、自身でパスワードを管理できるノートです。デザインも北欧雑貨のようなおしゃれ。この“カモフラージュノート”管理が少し苦手、これを機会に整理整頓したい……という方は最適のグッズです。■ IDとパスワードは設定したらすぐノートにメモを!生活をより便利に安全にするためのIDとパスワードは大切なものです。IDとパスワードがたくさんあって問題になるのが、ログインをほぼ自動にしていたために、ログインしなくてはいけないときに忘れてログインできなくなること。それを避けるには、やはり専用のノートにそれぞれのIDとパスワードを設定したらすぐ記録することです。ノートに書き留めることは、万が一、スマホやパソコンが動かなくなったときも、すぐ内容が確認できて便利です。時代は電子化・ペーパーレス化でより便利になっていますが、大事なものは手書きでも記録する習慣を忘れないようにしておきましょう。
2018年11月23日最近では、パソコンだけでなくスマートフォンでもたくさんのIDやパスワードを入力することがあります。セキュリティのことを考えると、それぞれのサイトやサービスごとに別のパスワードを使うことが推奨されていますが、それでは膨大に増えるばかりで覚えられないですよね。そこで、パパママ世代がどのような管理をしているのか聞いてみました。Q.パスワード、どう管理してる?1.覚えておく 41.7%2.手帳やノートなどに書いておく 32.8%3.携帯電話のメモなどに保存する 13.9%4.パソコン上のメモなどに保存する 3.2%5.パスワード管理のアプリ・サービスなどを使う 2.1%6.自分宛にメールしておく 1.2%7.ブラウザのオートコンプリートを使う 1.0%8.その他 4.1%もっとも多いのは覚えておくで41.7%。次に手帳やノートなどに書いておくが32.8%と高い結果になりました。■パスワードが多すぎて全部なんて覚えられない!最近では、SNSやネットショッピングだけでなく、銀行や各アプリなどにもパスワードが必要なことも。増え続けるパスワードに、覚えられいないと限界の声をあげる人たちも多くいました。「何でもかんでもパスワードパスワードって、はっきり言って、歳をとると整理できなくて覚えられない! うまく使いこなせる人はすごいと思う」(神奈川県 50代女性)「はっきり言って覚えていられない!」(愛知県 40代女性)「3つを使いまわし。忘れてもどれか合う。たまに変えると忘れます(笑)」(神奈川県 40代女性)「同じパスワードを使っていますが、たまに使えないとき、新しいパスワードを作り、また忘れてしまうパターン」(神奈川県 40代女性)「短いパスワードなら覚えられるけど、強化レベルの高いパスワードは全く覚えられず、毎回パスワード変更しちゃってます。だから、いつもなんだっけ状態。メモった紙もなくなるパターです」(千葉県 30代女性)「正直私は管理し切れていません。これくらいは覚えておけるだろうというものでも忘れる。手帳に書いても、書き写し忘れる。携帯にメモしても、機種変とともになくす」(東京都 50代女性)■ノートや手帳に書くのが一番安心パソコンやスマホにメモしておくよりも、ノートや手帳に地道に書き写しているという人も多くいました。中には、1回ごとにパスワードを変えて、書き換えていると言う人も! 早いようですが、終活に向けてパスワードをノートに残している人もいました。「パスワードノートにメモしています。『覚えておく』という方が多いのにビックリです! みんなすごいと思うのは、俺だけ??」(東京都 50代男性)「手帳に書いてます! 毎年、新しい手帳に書き写すのが面倒で…。写し間違えたらアウトだな」(滋賀県 30代女性)「覚えているつもりがいつもエラー。なので、携帯にメモするか、紙に書いています」(茨城県 40代女性)「全部違うのにしているので覚え切れません。ですが、携帯やパソコンにメモするのはセキュリティ上問題らしいので、紙のノートにメモしています。なので、普通のノートですが貴重品扱いです」(宮城県 50代女性)「暗証番号だらけで、覚えていられなくなり、メモし始めました」(神奈川県 50代女性)「パスワードは1回ずつ変えています。手帳にメモってます。覚えられないですが、悪用されたら困るので」(大阪府 40代女性)「自分が死んでしまったときのために残された家族が困らないよう、ノートに書いています」(神奈川県 40代女性)■誰にも知られずに覚えられるパスワード術誰にも知られなくてなおかつ覚えやすいパスワードってどんなものか聞いてみると、以外に元カレや夫以外の生年月日というコメントもありました。確かにそれなら血縁関係もないしバレないかも。それ以外にも、サイト名の頭文字を付け足して、それぞれ違うパスワードにしている人も。「会社名(サイト名)に基本のパスワードを組み合わせると、重複しないし覚えやすいと聞いてから、なるべくそうしてます!」(神奈川県 40代女性)「元彼とつきあったときの日付をもう10年以上使っています(笑)。意外と誰にも知られないので、パスワードとしては良いです」(佐賀県 30代女性)「夫ではない、大好きな人の生年月日とイニシャル」(神奈川県 40代女性)Q.パスワード、どう管理してる?アンケート回答数:5234件 ウーマンエキサイト×まちcomi調べ
2018年04月23日ITセキュリティは万全ですか?近頃よく耳にする、アカウントの乗っ取りや、なりすましなど、ID&パスワードを盗まれてしまう被害。意外に多くの人が、誰にでも推測可能な単純な文字列に設定しているのです。また、個人を特定できれば、名前と誕生日の組み合わせやペットの名前などをヒントにして推察しやすい。「よくある“ひみつの質問”も、SNSを丹念に探れば答えがわかることが多いんです。じゃあ最大の防御とは?覚えないことが一番なんです」と情報セキュリティの第一人者でエンジニアの辻伸弘さん。パスワードを覚えずに管理するその方法を、教えてもらいました。■その1パスワード管理ソフトを利用する。パスワード管理ソフトとは、複数所有しているIDやパスワードを一括管理してくれる便利なソフト。ソフトを利用するためのマスターパスワードひとつを覚えれば済むので、ほかはアルファベットや数字、記号が混ざった複雑なパスワードをどんどん設定すべし。なかには、破られにくいパスワードを自動作成してくれるタイプも。どのソフトもブラウザと連動でき、ログインしたいサイトを開いたら管理ソフトを立ち上げてマスターパスワードを打ち込むと、自動でIDとパスワードが入力される。ただ、「マスターパスワードだけは複雑なものを設定しつつ、覚えること。各パスワードは暗号化して保管されるため、PCがハッキングされても、マスターパスワードさえ知られなければ守られます」■その2二要素認証を利用する。人が設定したID&パスワードと、もうひとつ、別の形で個人を特定する認証システムを採用し、セキュリティを強固にしたのが二要素認証。単純にパスワードが二重に設定されているだけではないのがこの方式。従来のパスワードが“ユーザーの知っていること”に頼ったものならば、もうひとつは、個人のスマートフォンや携帯電話といった“ユーザーの所有しているもの”に頼ったセキュリティ方式。例えば、登録したメールアドレスやスマホアプリに届いたお知らせを認証しないと開けないというもの。また、iPhoneにも採用されている指紋認証のほか、静脈のような“ユーザー自身”に頼ったものの場合も。「種類の違う認証方法が採用されているぶん、従来よりも安全性が高いと言えますよね」◇つじ・のぶひろソフトバンク・テクノロジーに所属。情報セキュリティの第一人者として、講演や執筆活動など、情報発信を行う。セカオワの深瀬さんに似ているとの噂あり。twitter IDは@ntsuji。※『anan』2016年4月13日号より。イラスト・田中麻里子取材、文・望月リサ
2016年04月10日ヤフーは1月26日、同社の公式ブログで「パスワード管理に関する大切なお知らせ」と題した注意喚起を行った。これは、女性アイドルのアカウントに不正ログインして、メール内容などを盗み見した事件など、不正ログインに関する報道が相次いだことに合わせたもの。同事件では、容疑者が「パスワードを類推して不正ログインした」という趣旨の供述をしていることから、こうしたパスワードを利用している場合は、早急にパスワードを変更するよう、同ブログでは呼びかけている。類推されやすいパスワードとしては、以下の3点が挙げられる。氏名、電話番号、生年月日に関連する文字列Yahoo! JAPAN IDに含まれる文字列の引用すべて同じ文字や、わかりやすい続き文字(例:1234)特に1234やpasswordといった平易なパスワードは、漏えいしたパスワードを毎年集計している米SplashDataの調査でも上位にランクインしているため注意が必要だ。また、複雑なパスワードを設定していたとしても、「使い回さないように」と同ブログで呼びかけている。ヤフーはJPCERT/CCなどと共同で、以前よりパスワード使い回しに対する啓蒙活動を行っている。
2016年01月26日米SplashDataは1月19日(現地時間)、よく利用されているパスワード「Worst Passwords List」の2015年版を発表した。トップは「123456」で前回と変わらず、相変わらず簡単に見破られてしまうパスワードが利用されている現状を裏付けるものとなった。Worst Password Listは同社が2011年より実施している年次調査で、消費者に見破られやすいパスワードを知らせることで、強固なパスワード利用を奨励することを目的としたもの。1年間に漏えいした約200万件のパスワード情報を集計した。データの多くは北米と西欧州のユーザーのもので、日本の傾向は若干異なる可能性もある。今年ワースト1にランクしたのは「123456」で、次は「password」となった。ワースト1、2は調査を始めた当初から上位にランクインしており、昨年と同じ順位をキープした。3位は「12345678」で、昨年4位から1ランクアップした。5位は昨年も5位だった「qwerty」。数字の羅列は、「123456789」(6位、前年変わらず)、「1234」(8位、前年7位)、「1234567」(9位、昨年11位)、「1234567890」(12位、初登場)、「111111」(14位、昨年15位)と多くランクインしている。また、キーボードの配列にそったqweryのほか、覚えやすい単語の「football」(7位、前年10位)や「baseball」(10位、前年8位)など、人気スポーツが利用される傾向も変わらなかった。スポーツ以外でも覚えやすい言葉を使う傾向は続いており、「dragon」(16位、前年9位)、「princess」(21位、初登場)などがある。パスワードでもトレンドが存在しており、「solo」が23位に、25位に「starwars」が初登場している。上位にあまり変化がないことなどから、SplashDataでは「ユーザーが選択しているパスワードは引き続きリスクが高いものが多い」としている。また、今年の傾向として「1234567890」などの長いパスワードが出てきているが、「Webサイトとユーザーの両方による安全性を高めようとする努力だろう」と推測しながらも、長くなっただけではセキュリティ対策上ほとんど効果がないとしている。同社によると、ユーザーの保護対策として、「12文字以上でさまざまな文字数字を組み合わせたパスワードやパスフレーズを使う」「同じパスワードの使い回しをしない」「パスワードマネージャーを利用してパスワードの管理と保護を行い、ランダムなパスワードを生成し、自動的にログインする」という3つのアドバイスを推奨している。
2016年01月20日カスペルスキーは1月7日、パスワードの誤った使い方と正しい使い方を、同社のブログ「Kaspersky Daily」で解説した。誤ったパスワードの作り方は以下の通り。辞書に載っている単語や固有名詞などは、パスワードに使う文字列にふさわしくない「123457」「dragon」「letmein」「qwerty」のような数字のみやアルファベットのみなど、単純なものも避けるべき。外来語をアルファベット表記で使ってはいけないハッカーの使っている特別な辞書には、こうした言葉も含まれているため、この方法でセキュリティが強化されることはない。どちらも基本的なことだが、他人に推測されやすいパスワードを作るのは避けるべきポイントだ。続いて安全性の高いパスワードの作り方を紹介している。信頼性の高いパスワードを考えて暗記する意味のない文字列を覚えるのは大変だが、自分用のルールに沿って作ることで、比較的簡単に覚えられる。パスワードを暗記するときは、何百回もキーボードで入力入力し続けることでパスワードを覚えやすい。数字と特殊記号を文字列に入れたほうが優れたパスワードに大文字と小文字を混在させよう。重要なアカウントは、すべて2段階認証を有効にハッキングなどで信頼性の高いパスワードが破られても、もう一段階の認証があることでハッキングのリスクを抑えられる。複雑なパスワードを覚えるのが苦手なら、パスワード管理ツールを使う完成したパスワードは、管理方法も重要となる。安全性の高いパスワードを作成しても、他人に漏らしてしまっては意味がない。以下のようにして安全性を確保しよう。完成したパスワードと作成方法は、誰にも教えてはいけないPCやノートパソコン、タブレットを家族と共有している場合、パスワードを教えてはいけない。ユーザーアカウントごとに異なるパスワードを作る同じパスワードを使い回してはいけない同じパスワードを使っていると、万が一特定された場合、芋づる式でハッキングされる恐れがある。
2016年01月08日今やコミュニケーションツールとしてなくてはならないSNS。しかし、ログアウトした時や端末買い替えなどで新たにログインしないといけない時にパスワードを忘れて困った、というケースはよくありますね。このコーナーではパスワードを思い出せない時の対処法をSNSごとに紹介していきます。今回は「LINE」の場合。***スマートフォン版のLINEにはログアウトボタンがないので、パスワード忘れが起こるのは端末買い替えなどで移行させる際です。また、ご存知のようにLINEアカウントを他端末に移すにはメールアドレスとパスワード登録が必要なので、今回は登録をすでに行っているという前提で説明をしていきたいと思います。まずLINEをインストールし、起動画面の「ログイン」をタップ。メールアドレスとパスワード入力画面に移りますが、ここで「パスワードを忘れた場合」をタップします。するとメールアドレスを入力する画面になるので、LINEに登録したアドレスを入力して「確認」をタップ。その後、メールチェックをしてみるとLINEから「ログインアカウントのパスワード再設定手続きのご案内」が届くと思います。メールにはパスワード再設定用のURLが記載されていますが、メール発行後1時間以内にURLをタップすればブラウザが開いてパスワード再設定画面が現われるでしょう。ここで新パスワードと確認用を2回入力して「確認」をタップすればパスワード再設定が完了です。SNSの中で手続きが比較的簡単なLINEのパスワード再設定。ただし、メールにパスワード再設定用のURLが送られるので、当然、実際に使われているアクティブなアドレスをログイン用メールアドレスに設定しておく必要があります。その点だけご注意ください。
2015年12月29日米Googleが同社アカウントへの"パスワードを使わない"新しいログイン方式のテストを開始している。特定の携帯電話をアカウントに結びつけると、ログイン時にパスワードの代わりに携帯電話側に通知メッセージが表示され、そこでログイン操作を行うことでログインが完了する。現在はまだ一部ユーザーへのテスト提供にとどまっているが、2段階認証の新しい形として注目を集めそうだ。同件はThe Vergeなどが報じている。実際に同テストプログラムの招待を受けたユーザーがRedditに報告した情報によれば、例えばPCのWebブラウザ上でGoogleアカウントにログインする場合、通常はGoogleアカウント名(Gmailアドレス)とパスワードの入力を行い、もし2段階認証が設定されている場合にはその後に携帯電話に通知されたPINを入力することでログインが完了する。だが新しい方式では、Googleアカウント名を入力した段階で当該テストの参加者であることを確認し、画面に「スマートフォン上の通知を確認してログイン動作を行う」よう指示が出る。アカウントと結びつけられた携帯の画面にはGoogleアカウントへのログインを行おうとしているかを確認する通知メッセージが表示され、ここでPCのWeb画面で指示されたボタンを"タップ"するだけでPCでのGoogleアカウントへのログインが完了するという仕組みだ。もともとGoogleは不正アクセスが多発したことを受け、Webサービスでは比較的早い時期から2段階認証や2要素認証の導入に取り組んでいる。従来方式では、アカウントに結びつけられた携帯電話にSMSまたは通話の形で6桁の数字がログイン動作時に通知され、これをログインしようとしているPCまたはスマートフォン上で入力することでログインが完了する仕組み。また、一度ログイン動作が完了すれば、以後は同じデバイスでの再確認を行わないようにするオプションも用意されている。あくまで、オンライン経由で不正アクセスを試みようとする相手を排除するのが目的で、実際にアカウントを持つユーザーをログインしようとしているのとは別のデバイスと結びつけることで、安全性を確保しようというのが狙いだ。詳細についてはRedditでの説明と、アップロードされた説明画像を参照してみてほしい。現在Webサービスアクセスの2段階認証の世界ではFIDO (Fast IDentity Online)の取り組みが進んでおり、実際に最初の事例としてNTTドコモが自社のスマートフォンでの対応をうたっている。公開鍵暗号技術(PKI)を使ってデバイスごとに異なるアクセスキーを発行することでパスワードを使わないログイン動作の単純化とセキュリティを高めようという仕組みだ。GoogleもFIDO参加企業だが、一方で認証用のデバイスを別途用意して単純なWebアクセスのセキュリティを高める方式の利用をユーザーに促しており、今回はこれの発展型にあたる。もし実際に試す機会があったらトライしてみてほしい。
2015年12月24日今やコミュニケーションツールとしてなくてはならないSNS。しかし、ログアウトした時や端末買い替えなどで新たにログインしないといけない時にパスワードを忘れて困った、というケースはよくありますね。このコーナーではパスワードを思い出せない時の対処法をSNSごとに紹介していきます。今回は「Twitter」の場合。***Twitterでパスワードを忘れた場合、メールアドレスかユーザー名、または電話番号を登録している場合は電話番号、この3つのうちどれかを使うことでアカウントの検索を行い、パスワードのリセットが可能です。リセットするにはまずブラウザでTwitterのログイン画面に接続し、「アカウントをお持ちの場合はログイン」をクリック。続いてパスワード欄の下にある「パスワードを忘れた場合はこちら」をクリックします。公式のTwitterアプリの場合、ログイン画面の一番下に「パスワードお忘れですか?」という項目があるので、ここをタップするとブラウザアプリに移行し、ブラウザ版と同じ手順で設定可能です。続いて、Twitterアカウントの検索。検索フォームが表示されるので、アカウント名、Twitterに登録したメールアドレス・電話番号を入力して検索し、自分のアカウントを探しましょう。検索後、該当するアカウントが画面に表示され、登録したメールアドレスへパスワード再設定のリンクを送るかどうかの画面になるので、「続ける」を選択。この後、Twitterから届いたメールに記載された「パスワードをリセット」をクリックします。ボタンをクリックしたらブラウザでパスワードがリセットできるフォームに遷移します。ここで新しいパスワードと確認用を含め2回入力し、「送信」をクリック。これでパスワード再設定は完了です。ただし、2段階認証を設定している場合はこの後に登録しているモバイルデバイスや認証用コードを使っての認証が必要になります。Twitterでパスワードを忘れた場合を紹介してきましたが、iOS版のTwitter公式アプリでは2段階認証を利用していない場合のみ、SMSでコードを受け取ってワンタイムでログインできる方法も用意されています。ログイン画面でパスワードを間違えると「コードをテキストで受け取る」「コードをメールで受け取る」という選択肢のメニューが。ここで「コードをテキストで受け取る」を選択するとSMSに新しいパスワードが送られるので、これをパスワード欄に入力すればログイン可能となります。ただし、ここで発行されるパスワードが使えるのは1回のみ。緊急時のみに使って、ログイン後はすぐに設定からパスワード再設定を行いましょう。
2015年12月12日シー・エス・イーはこのほど、自社開発のマトリクス認証ワンタイムパスワード製品「SECUREMATRIX」のクラウドサービス版「SECUREMATRIXクラウドサービス」の提供開始を発表した。同サービスはAmazon Web Services(AWS)上で稼働するSECUREMATRIXを利用し、シングルサインオン(SSO)を含む認証機能をユーザーへ提供する。これにより、これまで導入時に必要だったハードウェア・OS環境、導入・構築・運用作業が不要となる。SECUREMATRIXは、認証・認可によるセキュリティと、デバイス管理による運用管理を統合したシステムであるため、専門のIT技術者を配置することなく、ユーザー自身による運用が可能となり、迅速な配備にも対応できるという。これまでは同システムをオンプレミス上に導入する際、ハードウェアにかかる費用、運用にかかる費用、調達期間などを考慮しなければいけなかったが、クラウドサービスを利用することでこれらが不要となり、顧客のTCO削減を実現できるとしている。また、SAML(Security Assertion Markup Language)を使ったフェデレーションにおけるSSOを含む認証機能によって、クラウドやオンプレミス、ハイブリッド、パートナー企業間などの複数のシステムをまたがる「IoT時代の認証基盤」としての利用を想定している。
2015年12月08日●Sticky Passwordを使ってみる「パスワードは使い回さない」とは、セキュリティの基本の1つである。しかし、これには難しい問題がある。強固なパスワードをいくつも覚えられないことである。しかし、認証を必要とするサイトは増える一方である。そのような対策に使いたいのが、ライフボートの「Sticky Password プレミアム」である。1ユーザーで使用する限りは、台数制限なくPCやデバイス(Android、iOS)にインストールが可能である。また、使用期間の制限もない。対応OSやシステム要件、さらに対応するブラウザなどは、ライフボートのWebページを参照してほしい(特に、厳しいものはない)。○まずは、初回設定インストール直後に行うのが、初回設定である。[さあ始めましょう!]をクリックする。サインイン/サインアップとなるので、[マイアカウントを作成]をクリックする。次は、StickyAccoutを作成となる(図3)。ここがもっとも重要となる。まず、アカウントにはメールアドレスを使うが、一度設定したら変更はできない。また、マスターパスワードを忘れると、登録された情報にはけっしてアクセスできない。当然ながら、流出するとすべての個人情報が窃取される危険性がある。このあたりを踏まえて設定を行ってほしい。再度、マスターパスワードの確認などが行われ、クラウド同期の設定となる。基本的には[クラウド同期を有効化]を選ぶ。もし、1台のPCでのみSticky Passwordを使うのであれば、クラウドを使う意味がない。無効化を選ぶ。次に、ブラウザへの設定となる。まず、インストール済みのブラウザが表示される。Chromeでは、この段階でエクステンションのインストール確認が行われる(後で行われるブラウザもある)。最後にライセンスキーの入力となる。以上で、初回設定は完了である。[Sticky Passwordを起動]をクリックし、Sticky Passwordを起動する。初回は、チュートリアルが表示される。以後、不要ならば、下のチェックボックスのチェックを入れたままにする。○Sticky Passwordを使ってみるSticky Passwordのメイン画面は、図9となる。再起動時や一定時間(デフォルト10分)PCの操作がないとロックされ、解除には、マスターパスワードを入力する。IDとパスワードを登録するには、実際にログインまでを行う。ログインをクリックすると、新規アカウント登録画面となる。アカウント名やグループは後で変更もできる。[新規アカウントを追加]で登録される。あとは、同じページを表示すると、自動的にIDとパスワードが入力されるようになる。もし、自動的に新規アカウント登録画面が表示されない場合、手動でアカウントを追加する。もう1つやっておきたいのは、個人情報の入力である。メイン画面から[個人情報]を選ぶ。ここでは、個人情報(名前、誕生日など)連絡先(住所、電話番号など)インターネット(Yahoo ID、AOL名など)ビジネス(会社名、部署など)財務(クレジットカード、銀行口座など)を入力する。サイトによっては、さまざまな入力が必要となる。それをサポートするものだ。図14のように、個人情報を入力してみた。実際にWebサイトで、上にあるSticky Passwordのアイコンをクリックし、[個人情報]→[新規個人情報]を選ぶ。すると、赤くなった入力欄に、あらかじめ保存していた個人情報が自動で入力される。複数のアカウントを登録した状態が、図17である。グループを適切に設定していくと、使いやすいだろう。●Sticky PasswordをiPadで使ってみる○Sticky PasswordをiPadで使ってみるまずは、Sticky PasswordをApp Storeからインストールする。Sticky Passwordを起動すると、ようこそ!! 画面となる。[さあ、始めましょう!]をタップして、図19に進む。ここでは[既存アカウントに接続]をタップする。メールアドレスとパスワードの入力となる。[接続]をタップすると、クラウド同期となる。当然、有効化を選ぶ。以上で初期設定は完了となる。ライセンス形態が表示される。さらに[Sticky Passwordを起動!]をタップして、Sticky Passwordを起動する。iOSでは、ブラウザはSafariに対応する。早速、SafariにSticky Passwordを有効化しよう。[今すぐ有効化]をタップする。Safariで、設定手順が表示されるので、この通りに設定する。ここで、一度、SafariからSticky Passwordに移る。[ウェブアカウント]に図12で登録されたIDやパスワードがあるか確認しておこう。では、実際にIDやパスワード入力画面で、□に↑のボタンをタップし、Sticky Passwordを選ぶ。するとマスターパスワードの入力となる。次に、ログインの選択となる。文字ボックスにIDとパスワードが自動で入力される。Windowsと比較すると、やや手間がかかる(マニュアルにも、機能が制限されるとある)が、パスワードを記憶する必要はない。●パスワードジェネレータでパスワードを生成○パスワードジェネレータでパスワードを生成パスワードのもう1つの悩みは、強固なパスワードを作るのが難しい。そこで、利用したいのがパスワードジェネレータである。パスワード入力欄にカーソルを移動すると、ポップアップが表示される。うまくいかない場合は、メニューやブラウザのボタンからも起動できる。ここで[パスワード生成]をクリックする。パスワードジェネレータが起動する。パスワードの長さを指定し、[生成]をクリックすると生成される。生成されたパスワード表示するには、右にある目のアイコンをクリックする。覚えるのは、かなりむずかしい。Sticky Passwordがなければ、大変だろう。[このパスワードを使用する]で、クリップボードにコピーされるので、入力欄でペーストすればよい。あとは、図12と同じ手順となる。パスワードなどの個人情報は、AES-256暗号化をされており、まず解読されることはない。逆にいえば、マスターパスワードを忘れると、すべてのパスワードを失うことになる。この点だけは注意したい。本稿では紹介しきれなかったが、USBメモリを使ったポータブル版、保存した情報のインポート・エクスポート、クラウドを使わない同期などもできる。パスワード管理で悩んでいるのであれば、ぜひ、検討してみてほしい。
2015年11月20日ライフボートは10日、Lamantine Software製のパスワード管理ソフト「Sticky Password プレミアム」を発表した。11月20日からメガソフトを通じて発売する。価格は5,800円(税別)。PC、iPhone、iPad、Androidスマートフォン/タブレットなどで使えるパスワード管理ソフト。対応OSはWindows Vista / 7 / 8 / 8.1 / 10、Android 2.3以降、iOS 7以降。ショッピングサイトやアプリなどのログイン時に、様々な形式で入力が必要となるユーザーIDやパスワードを一元管理し、自動入力で認証を行う。パスワードやID情報は暗号化して保存されるので、ユーザーは「Sticky Password プレミアム」のマスターパスワードのみを管理するだけで、一括管理できるようになる。マルチデバイスに対応しており、1ユーザーであれば台数無制限で利用可能。PCでは指紋認証とPIN認証以外すべての機能を利用できるが、デバイスによっては利用できない機能もある。全デバイスで共通の機能は、ID/パスワードの閲覧と編集、クラウドやWi-Fiを経由して各デバイス間の情報同期、ローカル同期、自動ロックの時間設定、マスターパスワードの変更など。クラウド以外にも、USBメモリなどにログイン情報を保存できる。個人情報を安全に保管する「セキュアメモ機能」や、パスワードの自動生成機能なども搭載。発表時点では、Windows 10のWebブラウザ「Edge」での使用は現時点では非対応。
2015年11月10日三井住友カードは15日、NTTデータと共同で、スマートフォン(スマホ)のアプリを用いたワンタイムパスワードサービス「One Time Pass(ワンタイムパス)」アプリを新たに開発し、三井住友カード会員を対象に、2015年11月16日から提供を開始すると発表した。クレジットカード決済における、スマホアプリを用いたワンタイムパスワードの導入は、国内で初めてという。三井住友カードによると、インターネット取引によるクレジットカードの不正使用は、ID・パスワードの漏洩や使い回しに起因する「なりすまし被害」を中心に年々増加傾向にあり、現在では、全体の約半数を占めているという(※1)。(※1) 出典:一般社団法人日本クレジット協会「クレジットカード不正使用被害の集計結果について」三井住友カードでは今回、Visa・MasterCardが提供するネットショッピング認証サービス(※2)のパスワードに、60秒ごとに変わる一度きりの使い捨てパスワード(ワンタイムパスワード)を導入する。「ワンタイムパスワードを導入することで、『なりすまし被害』を防止することができ、高い安全性を確保できる」(三井住友カード)。(※2)Visaが提供する「VISA認証サービス(Verified by Visa)」と、MasterCardが提供する「MasterCard SecureCord」が対象。ネットショッピング認証サービスとは、インターネットショッピング利用の際に、パスワードによる本人確認を行うサービス。ネットショッピング認証サービスに参加している店舗で利用すると、自動的にパスワードの入力画面が立ち上がり、金額やハンドルネームなどを確認後、予め設定してあるパスワードを入力し本人認証を行う。パスワードの入力画面はカード会社が表示しているため、ショッピングサイトにはパスワードが残らないので、安心して利用できる。ワンタイムパスワードは、NTTデータと共同で開発したスマホアプリ「One Time Pass」で提供。クレジットカード決済の分野で初めて、安全性が高く、専用デバイスの持ち運びの必要がない、スマホアプリを用いた「ソフトトークン」型を採用した。ネットショッピングでのカード決済の際、ネットショッピング認証サービスのパスワード入力画面で、「One Time Pass」アプリを立ち上げ、表示されたパスワードをコピーし、認証画面に貼り付けるか直接入力することで本人認証が完了するため、「簡単・便利に利用できる」(同社)としている。同サービスは、三井住友カード会員で、インターネットサービス「Vpass」に登録している人であれば無料で利用できる(※3)。(※3)利用するには「Vpass」からの申し込み手続きが必要三井住友カードとNTTデータは、ネットショッピングにおける新たな本人認証の手段として、ワンタイムパスワードを業界に先駆け導入し、より安心・安全なクレジットカード決済環境の実現を目指していくとしている。
2015年10月15日JPCERTコーディネーションセンターが2014年よりスタートした「STOP!パスワード使い回し!」というキャンペーンがあります。ほかのサービスで使用しているパスワードを使い回すことで、そのパスワードが外部に漏れた場合、あらゆるサービスから自分の個人情報が漏れる可能性があるため、使い回しには多大なリスクがあると言われています。今回、マイナビニュースでは特集として、JPCERTコーディネーションセンターや日本を代表するネット企業10社から寄稿いただき、「なぜパスワードを使い回してはいけないのか」「パスワードを使い回すとどのようなセキュリティリスクがあるのか」など、具体的な事例を交えて解説を行います。9回目は、楽天 開発本部 ITガバナンス部 サイバー犯罪対策室 室長 増村 洋二氏による寄稿です。○突然の電話2014年9月に「STOP!! パスワード使い回し!!」キャンペーンへ参画してから3カ月後の12月。セキュリティ事案で日頃からやりとりをしているある捜査機関の担当者から一本の電話が入った。楽天のサービスを利用しているお客様が不正アクセスの被害にあい、その不正アクセス行為を行った者を特定しているという内容だった。われわれはその容疑者が楽天サービスにおいて不正を行ったログの一切の洗い出しなどの捜査協力を求められたため、規定の手続きにのっとり、対応する旨を伝えた。事件のあらましはこういうことだ。不正アクセス行為者は某サイトにSQLインジェクション(※)を仕掛け、それにより大量のIDやパスワードを奪い、楽天サービスや他のサイトにそれらを使って不正にログインを試み、某サイトと楽天サービスにおいて同じパスワードを使っていたケースにおいてログインに成功した。そのお客様が自ら最寄りの警察署に相談に行かれたことがきっかけとなり、捜査が進んでいた。その後、この事案では私たちが提供した「不正を試みたまたは不正アクセスに成功したと疑われる一切のログ」と他事業者のログをもって容疑者の立件、逮捕と至ったのだが、ひとたび第3者による不正ログインを許してしまうと「好き勝手にされてしまう」という事を象徴している事案であった。(※) SQLインジェクション: データベースと連携されたWebサイトに対して不正なプログラムを埋め込むことによりデータベースを改ざんしたり不正に情報を入手する行為。○私達に出来ること楽天サービスを利用されているお客様が最大限、この様な被害にあわれないために、われわれはできることを精一杯実行するとともに状況の変化を見定めながら日々それらを見直し、改善を続けていかねばならないと考えている。もちろん、楽天市場に出店していただいている店舗様や他のサービスにおいて関係のある方々の保護も含めてだ。まずは社内における対策をご紹介したい。モニタリング楽天会員IDへの不正ログインに対しては24時間365日態勢でモニタリングを行っており、1つのIPアドレス内にあるIDに対して一定数以上ログインが失敗した場合は自動的にパスワードをリセットしている。もちろん、パスワードをリセットした事はお客様に通知している。これは、通常であれば発生しにくいログインの失敗回数を閾値にしており、その閾値を超えるログイン試行は不穏なログインアクションであるという認識の元でリセットをすることでお客様のIDが不正にログインされることから保護することにつながっている。IPアドレス登録明らかに不穏なアクセスを繰り返しているアクセス元のIPアドレスに関しては、一定期間、通常のIPアドレスからのアクセスと扱いを変えている。当該IPアドレスからログインがあった時はID、パスワードに加えて会員登録してある生年月日を入力してもらうことで認証率を高めている。ログ解析私たちは、不正アクセス事案が発生した際または発生していなくても常に詳細なログの解析を行っている。楽天会員になると共通のIDでさまざまなサービスを使えるよう利便性を高めているのだが、冒頭の例のようにひとたび不正にログインをした悪意ある者は時にこれを逆手に取り、さまざまなサービスを同時に使う。そういった挙動がある、又はそれと思しき不穏なIDを日々サービス毎に集めて解析を行い、一定の判断のもと、被害拡大の前に当該IDを停止したりパスワードをリセットするなどの処置を行っている。行動解析とパターンマッチング楽天技術研究所とのコラボレーションで悪意ある行動の解析を行っている。上記の不穏なIDの収集などから、不正行為者の行動には一定のパターンが見受けられる。すべてとは言わないが、特定のブラウザを使用していたり、特定のプロバイダーからアクセスしていたり、特定の地域からアクセスしていたり、物品を購買した場合であれば特定の場所への配送を指定していたりするということがある。これらのデータは一定期間をへると膨大な量のデータになる。これら膨大なデータを有効な対策に生かさない手はない。楽天では技術研究所の研究員と共にこれらのデータから不正行為者の行動解析を行い、パターンによる検出ができないか、または、特定のソリューションに入れ込んで自動的な判定を行って不穏な挙動を起こす前に排除できないかどうか、検討を重ねている。また、事故発生時の迅速な対応体制としてRakuten-CERTも設置している。続いて、サービス上で提供している各種機能をご紹介したい。ログイン通知とログイン履歴会員の方がログインされるたびに、登録していただいているメールアドレスに通知を行い不穏なログインがないか、常に監視している。また、会員情報などが確認できるmy Rakutenにおいてログイン履歴も確認できるようにしてあり、ログインした日付、曜日、時間、分、秒までとログインしたサービス、利用端末、IPアドレスまでを一覧として見られるようにしてある。これも身に覚えのないログインがされていないかということをすぐに気付ける重要な機能の1つである。ポイント利用・獲得履歴ポイントに関しても自分が預かり知らない利用がなかったかどうかを常に確認できるようにしてある。楽天会員IDと同様に、折角貯めた大事なポイントに関しても大切に管理していただけると嬉しい限りだ。ポイントの獲得や利用に関する履歴は楽天Point Clubからいつでも確認できるようになっている。購入履歴購買の履歴も同様に常に確認ができるようになっている。不審な購入がされていないかどうかがひと目でわかるようになっており、楽天市場のトップページの右上から1回のクリックでたどりつけるようになっている。啓発お客様にはパスワードを使い回していることで遭遇してしまう被害の甚大さを理解してもらい、複数のサービスで同じパスワードを使わないようにサービスサイトおよびコーポレートサイトで継続的に啓発を行っている。本連載を引き受けたのもこの一環である。救済万が一、不正アクセスに遭遇してしまった場合は楽天ヘルプ画面からその旨を申告してもらうとともに最寄りの警察署の該当部門にも相談をしていただくようお勧めをしている。全国の警察署の該当部門の一覧はコーポレートサイトの中にリンクを貼り、すぐに連絡先がわかるようにしてある。これらの機能やページはお客様自身で防衛力や気づきを高められるものとして提供させていただいており、ご存じなかった人は、これを機会に是非ご覧になり、利用いただきたいと思う。最後に会社組織外との連携に関してご紹介をしたいと思う。これは、当社以外の大手ネット企業の多くも同様の取り組みも行っており、広く安全なネット社会を構築するうえで欠かせない連携と認識していただけると幸いだ。捜査機関との連携前述の通り、不正ログインにわわれたお客様には最寄りの警察署に相談してくださいとお薦めしている。そのうえで、会社としても警視庁サイバー犯罪対策課に一報を入れた後、事案が起きた事業所の最寄りの警察署に届け出を行い、サイバー犯罪対策課の方々に同席いただきながら事案解決のための相談を行っている。昨今は非常にサイバー犯罪が多発、巧妙化していることもあり、警察の皆さんも熱心に取り組まれている。同業他社との連携冒頭の事象のように、もはや一企業だけの問題ではないため、常日頃から同業他社との情報交換は欠かせない。特集で執筆している他社をはじめ、その他複数の企業との連絡会を通じて最新事情や対策に関して協議する場を設けている。お互いのレベルを高め、ひいては複数のインターネットサービスをご利用されるお客様の安全性を向上させることに鋭意努力している。JPCERT/CCとの連携特集の主催者であり、日頃さまざまな面で大変お世話になっているJPCERT/CCには不正なサーバの通知とそれへの対処、対応に関する助言や最新情報を提供いただいている。ISP(インターネットサービスプロバイダー)との連携必要に応じてISP各社には不正アクセス元のIPアドレスに関してアビューズフォームから連絡をしたり、個別の連絡・相談を通じたりして助けてもらっている。セキュリティベンダーとの連携セキュリティベンダー各社には会社のセキュリティ対応状況を伝えしつつ、必要に応じて契約・ソリューションの提供や、相談を行っている。また、ネットには国境がないため、事案によっては国際的な解決も考えねばならない。捜査権がないものの、頼もしい機関の1つとしてインターポールのサイバー犯罪に対する専門組織としてシンガポールにあるIGCI(The INTERPOL Global Complex for Innovation)が存在する。ここでは、ほぼ全世界のサイバー犯罪に関する情報を集めているとともに、不正行為が行われた当該国の捜査機関への橋渡しが行われる。今後は私たちも連携を深めるべく、実際に足を運んで協議を行っている。国内においてもJC3(日本サイバー犯罪対策センター)にユーザー企業とし唯一参加しており、最新事例や対策例の収集、自分達だけでは得難い知見を得るべく彼らの活動に参加している。以上、これらはほんの一部だが、常にサービスを利用するお客様の保護を第一に考え、日々努力と改善を続けている。○敵を知り己を知るところで、不正行為を行ったり、攻撃を仕掛たりする相手は何を目的としているのだろうか。「敵を知り己を知る」という有名な言葉があるが、不正アクセスにおいても十分当てはまるのではないかと思う。サイバー犯罪や攻撃の動機・目的としては、テロやハクティビズム、自己顕示欲の誇示などさまざまあるだろうが、こと楽天のようなネットサービスにおいては経済的目的が一番なのではないかと考えている。多くの会員を抱えている企業やサービスを狙えば、効率的に金銭や物品が手に入る。会員の多くがクレジットカード登録で買い物されているが、ひとたび会員IDを乗っ取れれば正規会員のクレジットカードを用いて、買い物ができてしまうわけである。他人のIDを乗っ取ることで欲しい物を得たり、得たいサービスを享受したり、高値転売を目的とした物品が購入できたりするのは、経済的にメリットがあると考えているようである。また、世の中には残念ながら"闇マーケット"なるものが存在しており、多数のサービスの会員IDやパスワード、クレジットカード情報などが売り買いされている。多少手間や金銭は掛かるかもしれないが、それを上回る利益が得られるのであれば、これら闇情報を使って購買活動が起きてもおかしくない。いや、実際に起きているのだ。昨今では組織的犯行が叫ばれており、非常に洗練された頭脳集団であるうえ、役割分担もしっかりしていると、さながら会社組織のように役職や各役割に応じた目標やインセンティブもあると聞く。また、1日の攻撃のトレンドを見ていると、すべてではないが、攻撃は9時から17時の間に行われ、12時~13時はいったん治まるなど、さも勤務時間内で行っているかのような動きを見せたりする。冒頭の例は単独犯だったのだが、今後は単独の攻撃はレアケースになっていくのかもしれない。こうなると私たちは、より組織的、体系的に対処すべく戦略的なプランを練らないとならない。事後対策はもちろん、予防に向けたアクションとして起きるであろう"こと"をどのように予測し、どのようにプライオリティをつけ、どのようにリソースを配分していくか。いわゆる戦い方も含めて考えていかねば、早晩組織、サービスを壊滅させられてしまうリスクを背負っているとも言えよう。サイバー戦争は何も国家に限った話ではないのである。○未来へ向けてパスワードがいらない世界になれば、こうした被害はある程度減っていくことが予想される。読者の中にはFIDO(Fast Online Identity)という言葉を聞いたことがある方もいると思う。楽天もこのFIDO Allianceに参画しようとしているのだが、簡単に言えば「パスワードに変わる認証を導入し、今よりセキュリティを高めよう」という業界横断的な活動だ。まだまだ活動の端緒についたばかりで超えるべき壁もあり、楽天もすぐに導入ということにはならないと思うが、次世代の認証方法としてお客様の保護レベルを上げることで、さらに安心してサービスを利用いただけるようになると思うと期待は大きくなるばかりである。著者プロフィール○増村洋二(ますむら ようじ)楽天株式会社 開発本部 ITガバナンス部 サイバー犯罪対策室 室長大学卒業後、印刷会社・広告代理店を経て人材派遣会社にて情報セキュリティ業務に従事。2005年大手ネット企業に入社し、情報セキュリティ業務を担当。その後、情報セキュリティ部門のマネージャーに就任しつつCSIRTの立ち上げに関わる。2014年に楽天へ入社し、サイバー犯罪対策業務に従事。2015年にはサイバー犯罪対策室 室長へ就任し、室員と共に最前線での対応を続けている。
2015年09月10日JPCERTコーディネーションセンターが2014年よりスタートした「STOP!パスワード使い回し!」というキャンペーンがあります。ほかのサービスで使用しているパスワードを使い回すことで、そのパスワードが外部に漏れた場合、あらゆるサービスから自分の個人情報が漏れる可能性があるため、使い回しには多大なリスクがあると言われています。今回、マイナビニュースでは特集として、JPCERTコーディネーションセンターや日本を代表するネット企業10社から寄稿いただき、「なぜパスワードを使い回してはいけないのか」「パスワードを使い回すとどのようなセキュリティリスクがあるのか」など、具体的な事例を交えて解説を行います。7回目は、グリー インフラストラクチャ本部 セキュリティ部 部長 / GREE-IRT 奥村 祐則氏による寄稿です。○はじめにこんにちは。グリー インフラストラクチャ本部セキュリティ部 / GREE-IRT の奥村と申します。今回は連載も折り返しということで、この連載の基本に立ち返って「リスク」と「対策」について整理してみようと思います。そして「パスワード使い回し」をしている方、ご家族ご友人の意識が少しでも変われば幸いです。○「リスク」と「対策」の関係まずは一般論としての「リスク」と「対策」の関係についてです。突然ですが、あなたは自宅に鍵をかけておられますか。自動車や自転車はいかがですか。多くの方は鍵をかけているかと思います。では、なぜ鍵をかけているのでしょうか。この場合は「自宅」への泥棒の侵入や、「自動車」「自転車」を他人に盗まれるのを防ぐためでしょう。「自宅」の中には金目のものがあるでしょうし、「自動車」「自転車」も価値があるものです。価値のあるものが、悪意のある第三者に狙われうる場合、被害に遭わないためには何か対策が必要です。セキュリティ的な用語を使うと、「価値」と「脅威」から想定される「リスク」に応じた「対策」が必要、というところでしょうか。○パスワードを設定する、という「対策」では、あなたがお使いの「パスワード」はどのような「リスク」への「対策」でしょうか。ここで「リスク」は「価値」と「脅威」により変わることを思い出してください。「価値」はお使いのサービスによって様々だと思います。オンラインバンキングであれば「価値」はあなたの預金残高かそれ以上でしょうし、SNSのアカウントであれば「価値」は金銭的なものというよりは「あなたに関する様々な情報」ということになるでしょう。オンラインストレージであれば、お金には代え難い思い出の写真が保存されているかもしれません。いずれにせよ、あなたはその「価値」を誰かに盗まれたり、見られたり、破壊されたり、といった「脅威」から守るためにパスワードを設定しているのです。そして、「パスワードを設定する」という行為は「リスク」への「対策」ですが、パスワードそのものが「価値」を持つことにお気づきでしょう。もし、あなたの預金残高が100万円あったとしたら、そのオンラインバンキングのパスワードは100万円か、それ以上の価値があります(昨今1つのパスワードだけでアクセス可能なオンラインバンキングはないですが、話を簡単にするためにご容赦ください)。また、eコマースサイトのパスワードであれば、登録のクレジットカードの限度額とほぼ同じ価値があるでしょう。SNSやオンラインストレージの価値はプライスレスと言えるかもしれませんね。○パスワード使い回し、という行為の「リスク」このように考えてみると、普段お使いのパスワードは「感覚値以上に価値が高いものである」と思いませんか。100万円が入っているお財布を持ち歩いたらドキドキするかもしれませんが、預金残高100万円のオンラインバンキングにアクセスできるパスワードを覚えているからといってドキドキする人はいないでしょう。そうです。誰もがパスワードの「価値」を軽く見てしまいがちで、つまりは「リスク」を過小評価しがちなのです。そして、ついつい、「パスワード使い回し」をしてしまうのです。パスワードを使い回せば使い回すほど、そのパスワードの「価値」は上がっていきます。「リスク」もそれに伴い上がっていきます。しかし、あなたの感覚値ではそんなに大きな「リスク」だとは思っていません。そしてついに、偶然でも意図的でもパスワードが流出してしまい、パスワード使い回しによる「リスク」が現実のものとなればあなたは必ずショックを受け、後悔します。誰もが、「こんなことになるとは思わなかった」と言います。それは、目に見えない「リスク」を過小評価しているからなのです。○GREE の「対策」ということで、「パスワード使い回し」はあなたの感覚値以上に大きな「リスク」を抱えることになります。サービス事業者としてのグリーは、そういった「リスク」を過小評価されがちなお客様の行動と、日々高度化する攻撃手法を用いてくる攻撃者からの脅威の両面に対応すべく、日々努力しております。逆説的ではありますが、ID とパスワードが正しくてもお客様ご本人とはみなさずに別の情報で再確認する(二段階認証)といった対策も提供しております。攻撃側への対策としては、同じところから次々と別のID でアクセスしてくる"古典的"な「リスト型攻撃」をブロックすることから始まり、様々なチューニングを行っています。こういった攻撃側への対策は他社さんのレポートもご覧ください。○あなたの「対策」は?最後に、あなたの「対策」はいかがでしょうか。パスワード使い回しは論外。独自のパスワードルール(ある文字列+対象サービスごとの符号)に基づきサービスごとのパスワードを設定される方もおられるようです。「リスク」に応じてより強固なパスワードを設定したり、二段階認証や二要素認証を使ったり、といったあなたの「対策」を是非考えてみてください。最後までお読みいただきありがとうございました。この特集を読んで得た知見を活用して安全なインターネットライフをお送りください!著者プロフィール○奥村 祐則(おくむら まさのり)グリー インフラストラクチャ本部 セキュリティ部 部長2001年にセキュリティ畑へ足を踏み入れる。はじめはセキュリティエンジニアとして、改ざん検知システムや認証基盤などセキュリティ関連のシステム構築に従事。その後は認証基盤の監査やリスク・セキュリティ・プライバシー関連のコンサルティング業務に従事。2012年からグリーにおいて、セキュリティに関連するあらゆる業務を担当。同時期に立ち上がったGREE-IRT ではPoC 兼 CC 兼 現場担当する。現在もセキュリティ面での様々な施策を通じてグリーが展開する事業を支えている。
2015年09月04日JPCERTコーディネーションセンターが2014年よりスタートした「STOP!パスワード使い回し!」というキャンペーンがあります。ほかのサービスで使用しているパスワードを使い回すことで、そのパスワードが外部に漏れた場合、あらゆるサービスから自分の個人情報が漏れる可能性があるため、使い回しには多大なリスクがあると言われています。今回、マイナビニュースでは特集として、JPCERTコーディネーションセンターや日本を代表するネット企業10社から寄稿いただき、「なぜパスワードを使い回してはいけないのか」「パスワードを使い回すとどのようなセキュリティリスクがあるのか」など、具体的な事例を交えて解説を行います。5回目は、ドワンゴ プラットフォーム事業本部 共通基盤開発部 担当部長 高橋 健太氏による寄稿です。○ドワンゴの不正ログイン被害例こんにちは。ドワンゴの高橋健太 (@rika_t) です。niconicoのセキュリティを担う、アカウントシステムのリーダーを担当しています。今回は「STOP!パスワード使い回し!」キャンペーンに関する寄稿ということで、昨年各社で発生した不正ログインに関して、ドワンゴでの取り組みを振り返りたいと思います。ドワンゴでは、プレスリリースや、ニコニコインフォでの告知で2014年6月にお伝えした通り、以下のような大規模な不正ログインが発見されました。不正ログインが認められた期間(試行を含む)2014年5月27日~2014年6月17日不正ログイン試行回数355万1370回不正ログイン件数29万5109アカウント(ID)ニコニコポイントを不正に使用されたアカウント(ID)数23アカウント(ID)ニコニコポイント不正使用による被害総額17万3713円(いずれも発表資料より抜粋)この不正ログインは、既にその他特集記事でも説明されている通り、別のサービスから取得されたと思われる「正しいIDとパスワード」でのログインが行われたものでした。パスワードの使い回しがいかに危険か、ということを物語った事件だったと言えます。○niconico不正ログインを更に振り返る時系列順に更に振り返ってみますと、以下のようになります。2014年6月9日、10日発覚した理由は「覚えのないニコニコポイントの利用」に関する問い合わせが、複数ユーザーからカスタマーサポートチームへ来たことからでした。その話を元にエンジニアがログイン試行の証跡を調べたところ、同一IPアドレスからのログイン試行であったため、それを全て攻撃者からのログインと見なしました。そして、その日中に、ほぼ完全な被害アカウントのリストが作成できました。その後、このリストを利用して、メール配信システムからユーザーに対して本人通知を実施しています。利用可能なメールアドレスをしっかりと登録していただいているユーザーの方は、この時点で更なる被害を免れることが可能だったと思われます。ここでニコニコインフォでの第一報を実施しました。Twitterでも非常に多くの方にリツイートして頂き、反響も大きいものでした。この第一報を取り上げてくださったニュースサイトもたくさんあり、注意喚起としては効果があったものと思われます。ただ、情報に敏感な人や、セキュリティについて普段から意識を持っている人には届いても、実際の被害者には中々情報が届きづらい面もあり、ドワンゴ社内では「これだけでは対応としては不十分」という見方が多数でした。6月11日~13日10日に実施したメール送信の効果はある程度はあったものの、残念ながら、メールアドレスが古く届かなかったか、見ても対策を講じなかったかなどにより、未だに攻撃可能なアカウントがかなりの割合で残っている状況でした。この日は、不達メールが戻ってきた数などを集計して、どの程度更なる対策をniconico側で実施するべきかを検討しています。また、法務から警察への連絡のため、ログイン試行の証跡を取りまとめるなども、この期間で実施しています。ドワンゴ社内はチャットツールで繋がっているので、法務部長が直接エンジニアに質問して数字をまとめている、当時の会話ログも残っています。この数字の取りまとめも含めた形で、最終的な報告をドワンゴのプレスリリースとして、Webサイトに掲載しました。このプレスリリースは各社で取り上げていただき、後にニュースサイトで「お手本のような詳しい情報公開」などと褒めていただけたことは、当時の対策を実施したエンジニア一同も、少し救われた気持ちになった記憶があります。6月14日、15日不正ログインを発表してから初めての土日で、カスタマーサポートへの問い合わせが急増しており、サポートチームも通常より体制を強化して休日対応を行いました。また、被害が継続している、パスワードがまだ変更されないアカウントに対し、どのように対処するかの検討は、土日も継続して行っています。上記の対処方針の決定に備えて、社内では、現行のプログラムの改修すべき箇所の洗い出しをした上で、不正ログイン停止状態の実装もこの土日の二日間で実施していました。その後この土日に改修したプログラムを本番に反映するための作業を行ったり、土日で更に拡大していた不正ログインの被害について、更にユーザー告知と、ドワンゴWebサイトでの続報を記載するなど、不正ログイン対策を追加しています。これらの対策の一環にもなりますが、niconicoの認証システムのリニューアルが実施されつつあります。ログインフォームや、アカウント設定ページの見た目が変わったので、気づいた方もたくさんいらっしゃるかもしれません。今後も、アカウント設定やログインに関しては、新システムでの機能追加が予定されています。○現在のniconicoの不正アクセスへの取り組みそれ以降、現在に至っても、ずっと不正ログインの攻撃は継続しています。この時ほど大規模ではなくなったにせよ、手口も巧妙化しており、検知自体も難しさが増しています。niconico側も、攻撃の自動検知の仕組みや、検知された後の対応の自動化など、様々に対応しており、運用に乗ったと言える状況ではあります。ただ、人気生放送で久々にアカウントにログインしようとした人が「パスワードを間違え続けてアカウントがロックされてしまう」というケースや、ランキング工作などで「アカウント自体を攻撃者が取得してログインを繰り返す」というケースもあるため、日々改善を行い、対策を強化し続けています。本当に色々な利用パターンがあるので、巡回運用するサポートチームや対策を講じるアカウントシステムのエンジニアも、"毎日が戦い"といった状況です。ただ、攻撃の性質上、「正しいIDとパスワード」でアクセスされると、サービス側ではどうにも検知できないケースが絶対に発生してしまいます。皆さんが利用しているアカウントを守るには、利用者自身での正しい認証情報の管理が最も有効です。パスワードの管理方法には様々なものがありますが、今すぐ対策できるものに、「いつものパスワード」に「サービス名」など、「少し異なるフレーズをくっつけてしまう」というものがあります。情報処理推進機構(IPA)でも、この方法を推奨するキャンペーンサイト「チョコっとプラスパスワード」がありますので、こちらを見て、ご自身のパスワード管理を一度見直してみてはいかがでしょうか。niconicoでは、こちらからパスワードが変更できます。登録されているメールアドレスが、もう利用できないものになっている方は、こちらから登録メールアドレスのご変更もお忘れなく!著者プロフィール○高橋 健太(たかはし けんた)ドワンゴ プラットフォーム事業本部 共通基盤開発部 部長2008年、日本アイ・ビー・エムシステムズ・エンジニアリング株式会社入社後、Webアプリケーション基盤の構築、開発を経て2012年ドワンゴ入社。ニコニコ動画開発からアカウントシステム専任チームの立ち上げ、2015年より現職。niconicoのWeb系バックエンドシステムの統括を担当。
2015年08月27日かつてのWindowsは、パスワードリセットディスクをあらかじめ作成し、サインイン(当時はログイン)できなくなった際にユーザーアカウントのパスワードをリセットしていた。Windows 8.x以降は、Microsoftアカウント使用時にパスワードリセットディスクの作成ウィザードを無効にし、Web上でリセット操作を行うようにしている。今回は各アカウントによるパスワードのリセット手順を紹介しよう。○ローカル/Microsoftアカウント使用時で動作が異なるWindows XP時代からPCを使ってきた方なら、パスワードリセットディスクはコントロールパネルの「ユーザーアカウント」から作成するをご存じかもしれない。しかし、ローカルアカウント使用中かMicrosoftアカウント使用中かで、その動作は異なる。上図はMicrosoftアカウント使用時とローカルアカウント使用時の「ユーザーアカウント」だが、前者はナビゲーションウィンドウに「パスワードリセットディスクの作成」が現れず、後者はWindows 7以前のように「パスワードリセットディスクの作成」項目が並ぶ。タスクバーの検索ボックスで「パスワードリセット」を検索すると「パスワードリセットディスクの作成」が候補として示されるが、Microsoftアカウント使用時は選択しても警告音のみで具体的な動作はない。基本的にはWindows 8.xと同じ動作なのだが、改めて確認すると少々不親切である。○パスワードリセットディスクの作成Windows 10をローカルアカウントで使用中の場合、いつでもパスワードをリセット可能にするため、パスワードリセットディスクを用意しておくべきだ。名前は「ディスク」でも、実際に使用するのはUSBメモリーである。ただし、使用する容量は数Kバイト程度のため、最小限の容量を持つUSBメモリーで構わない。○パスワードリセットディスクの使用方法パスワードリセットディスクは、サインイン画面でパスワードによるサインインに失敗すると使用可能になる。先ほど作成したUSBメモリーをPCに接続し、ウィザードの指示に従ってパスワードを再設定すればよい。○Microsoftアカウントのパスワードを再設定するMicrosoftアカウントをお使いの場合、Microsoftが用意しているWebページから、パスワードをリセットする。以前と同じパスワードは設定できず、執筆時点では8文字以上の英数字を用いなければならなかった。PCが使えない場合は、スマートフォンや別のPCを使ってリセットを実行するとよいだろう。阿久津良和(Cactus)
2015年08月22日JPCERTコーディネーションセンターが2014年よりスタートした「STOP!パスワード使い回し!」というキャンペーンがあります。ほかのサービスで使用しているパスワードを使い回すことで、そのパスワードが外部に漏れた場合、あらゆるサービスから自分の個人情報が漏れる可能性があるため、使い回しには多大なリスクがあると言われています。今回、マイナビニュースでは特集として、JPCERTコーディネーションセンターや日本を代表するネット企業10社から寄稿いただき、「なぜパスワードを使い回してはいけないのか」「パスワードを使い回すとどのようなセキュリティリスクがあるのか」など、具体的な事例を交えて解説を行います。3回目は、サイバーエージェント 技術本部 セキュリティグループ マネージャー 兼 アメーバ統括本部 技術内閣 安全保障室 室長 兼 ITセキュリティ戦略室(CyberAgent CSIRT) 副室長の野渡 志浩氏による寄稿です。○企業とユーザー、双方の対策が重要2004年にブログサービスとして立ち上げた「Ameba」は、ブログのほかアメーバピグやコミュニティサービス、ゲームなど展開を広げて、最近では様々なスマートフォン向けサービスを提供しています。これらのサービスは、「Ameba」のIDとパスワードを用いてユーザを認証しサービスを提供しています。弊社にとって「Ameba」のIDとパスワードは利用者の皆さまからお預かりした情報を安全に管理するための手段であり、厳重に管理をすべき情報のひとつです。2013年以降、多くのインターネットサービスでパスワードリスト攻撃による不正ログインが発生しており、弊社においても利用者の皆さまにご心配とご迷惑をおかいたしました。これを受け、弊社では再発防止のための監視などセキュリティ体制の強化を行うと共に、利用者さまにも、ご自身で実践できる予防対策をご案内させていただいております。そこで、今回は、ついついしてしまうことの多い「パスワードの使い回し」にはどのような危険があるのか、セキュリティ対策の現場で実際に実施されている不正ログイン監視の方法を交えて解説をしたいと思います。不正ログインの手法他人のログインIDとパスワードを用いた不正ログインの手法としては以下に挙げるものがよく知られています。公開情報からの推測ユーザ名やメールアドレス、誕生日など公開されている情報からパスワードを推測する手法辞書攻撃辞書に載っているような単語をパスワードに設定してログインを試みる手法ブルートフォース攻撃パスワードの文字列を総当りで入力してログインを試みる手法リバースブルートフォースパスワードを固定した上でログインIDを変化させ主に簡単なパスワードを設定しているユーザを探る手法パスワードリスト攻撃既に判明しているログインIDとパスワードのセットを順に入力してログインを試みる手法不正ログインの監視方法と不正ログイン手法ごとの傾向不正ログインの監視は主に以下の情報をもとにおこないます。これらの情報を記録し集計することで、一定期間内の回数や頻度に応じて不正ログインの可能性を判定します。また、不正ログインの手法毎に以下のような傾向を読み取ることでどのような手法で攻撃されているか判定し対策に活かします。公開情報からの推測同一ログインIDに対して複数回の認証失敗が記録されます。辞書攻撃同一ログインIDに対して大量の認証失敗が記録されます。異なるログインIDでも同じ傾向がみられた場合、試行されたパスワードのハッシュ値を比較することで辞書攻撃の発生を確認することができます。ブルートフォース攻撃同一ログインIDに対して大量の認証失敗が記録されます。試行されるパスワードのハッシュ値は常に異なるため、同一ログインIDに対するブルートフォース攻撃であることを確認することができます。リバースブルートフォース攻撃複数のログインIDで一回ずつ認証失敗が記録されます。認証失敗回数に頼った検知はできませんが、試行されたパスワードのハッシュ値の出現傾向に着目することで不正ログインの試行を確認することができます。また、存在しないログインIDによる認証失敗が増加する傾向があります。パスワードリスト攻撃ログイン試行の度にログインID及びパスワードが異なります。リクエスト自体に送信元や各種属性が一定であれば攻撃を検知することができますが、それらの属性が変化した場合正常なログインとの区別がつきにくい傾向があります。特に、パスワードリスト攻撃が複数の異なるIPアドレスから実行された場合には、攻撃の発生を検知するのが困難です。ただし、一定期間内に通常より多い認証失敗(存在しないログインIDやパスワード間違え)、あるいは認証成功が混ざって検出される傾向があります。不正ログイン検知事例推測によるログイン試行以下の表は約18分間の間に単一のIPアドレスから実行されたログイン試行の集計です。有効なログインIDに対して1~4回のログイン試行を行い推測可能なパスワードを使用しているユーザを探している形跡がみてとれます。単一のログインIDに対するブルートフォース攻撃以下の図を見ると、特定のログインIDに対して大量の認証リクエストを送信してパスワード間違えによる認証失敗を繰り返していることがわかります。このように単純なブルートフォーム攻撃は比較的簡単に検知や予防を行うことができます。パスワードリスト攻撃このグラフは単一のIPアドレスから26万412個ものログインIDに対して送信された認証失敗ログのグラフです。存在しないログインIDが大半を占めていることからパスワードリスト攻撃であると判断することができます。IPアドレスが単一である場合は検知も容易ですが、ログイン試行毎にIPアドレスが変化する場合は検知の難易度も高まります。パスワードリスト攻撃の特性と予防方法パスワードリスト攻撃は、他の不正ログイン方法と比較して、検知がしづらく仮に検知をしても、サービス運営側では予防しづらい攻撃手法です。不正ログイン被害を受けている時は、既に他者にログインIDとパスワードのセットが知られているという状態ですので、仮にログインIDとパスワードが漏れた場合でもログインできないようにしたり、被害を最小限にと止めるようにしたりするための対策が必要です。○具体的な対策は?サービスごとに異なるパスワードを利用するサービスごとに異なるパスワードを使用することで、万が一ログインIDとパスワードが漏れていた場合でも被害を最小限に留めることができます。管理するパスワードが増えるので自分なりのパスワード作成ルールを用意したり、管理を強化した状態でメモや電子ファイルに保存したり、パスワード管理ツールを使用するなどパスワードを忘れないようにする予防策を検討してください。パスワード以外の認証要素を追加する2段階認証と呼ばれる認証方法が利用可能な場合は、この機能を利用することでログインIDとパスワードの漏えいによる被害を予防することができます。これらのパスワードリスト攻撃に対する予防方法については、JPCERT/CCにも解説が掲載されています。インターネットサービスの運営会社では、各社が不正ログイン監視方法の精度上げや体制の強化などを行っていますが、パスワードリスト攻撃などによる被害を未然に防ぐには、インターネットサービス利用者のみなさまのご協力が不可欠です。サービスを安心安全にご利用いただくためにも、本記事が、情報セキュリティにおける危険性とそれに対する適切な対策を、多くの方に知っていただく機会になれば幸いです。著者プロフィール○野渡 志浩(のわたり ゆきひろ)サイバーエージェント 技術本部 セキュリティグループ マネージャーアメーバ統括本部 技術内閣 安全保障室 室長ITセキュリティ戦略室(CyberAgent CSIRT) 副室長セキュリティベンダーにおける脆弱性検査サービスやISMS認証取得支援サービスの立ち上げや、SIerにおけるセキュリティプロダクトの販売・セキュリティコンサルティングサービスなどの業務を行う。その後サービス事業者のセキュリティ専門部門に転職し、自社サービス及び開発環境のセキュリティ向上に関わる業務に従事。現在はCyberAgent CSIRTの立ち上げに関わり、社内におけるセキュリティインシデントのハンドリングを担当。
2015年08月20日JPCERTコーディネーションセンターが2014年よりスタートした「STOP!パスワード使い回し!」というキャンペーンがあります。ほかのサービスで使用しているパスワードを使い回すことで、そのパスワードが外部に漏れた場合、あらゆるサービスから自分の個人情報が漏れる可能性があるため、使い回しには多大なリスクがあると言われています。今回、マイナビニュースでは特集として、JPCERTコーディネーションセンターや日本を代表するネット企業10社から寄稿いただき、「なぜパスワードを使い回してはいけないのか」「パスワードを使い回すとどのようなセキュリティリスクがあるのか」など、具体的な事例を交えて解説を行います。2回目は、ディー・エヌ・エー システム本部セキュリティ部 部長 茂岩 祐樹氏による寄稿です。○パスワードリスト攻撃は新たな時代に入った?DeNAセキュリティ部の茂岩です。DeNAでは次のように多種多様なサービス・事業等に取り組んでいますが、私たちの部署ではそれぞれに必要となる情報セキュリティ施策の検討やルール策定について、全社横断的に取り組んでいます。リレー記事の、ということで、今回は「パスワードの使い回し」が望ましくない理由について、できるだけ分かりやすく紹介したいと思います。この記事を読み終えて、パスワードの使い回しは危険が伴うということを知っていただけると幸いです。ここ1、2年の間に、日本においてパスワードの使い回しに起因する実被害は相当数にのぼります。それも、数百人、数千人というレベルではなく、数十万を超える人に被害が出ているのです。この事実だけでも、「使い回しをやめる」、つまり、同じパスワードを色々なサイトで使わない理由になると思います。しかし、少しだけ過去にさかのぼって考えてみてください。私自身も含め、多くの人が使い回しをしていた(している)と思いますが、「被害にあった」という話を周囲で聞いたことはありますか?聞いたことがなかったとすれば、どうして今、このような面倒なこと「サービスごとに違うパスワードを設定する」ことを強いられるのか、腑に落ちない方も多いはずです。なぜ変わってしまったのか。それは一言で言うと「新たな時代に入った」と言えると思います。○リスト型攻撃とはリスト型攻撃はパスワード使い回しに深く関係する攻撃です。キャンペーンの1回目の記事にリスト型攻撃について分かりやすい説明がありますので是非一度、ご覧ください(STOP!パスワード使い回し!特集ページ)。リスト型というからには、元となるリストが存在するわけです。そのリストは、普通に考えると「多くて数十万件?」などと思われるかもしれませんが、世の中に存在するリストの総件数は、数億件や数十億件、いや、もっとあるかもしれません。リスト型攻撃の目的は攻撃者によって様々だと考えられます。IDとパスワードがあるWebサイトで(その組み合わせが)生きているかを確認するだけというものから、実際に登録したクレジットカードを利用して商品を購入されるという実害が出るものまで様々です。目的は様々と言いましたが、被害を受ける側の視点では「自分のアカウントが他人のコントロール下にある状態になってしまう」ことが問題点になります。また、仮にAサイト、Bサイトで同じパスワードを設定している場合にはCサイト、Dサイト…etcでも同じもので設定している可能性が高いのではないでしょうか。リスト型攻撃が多くのサイトに対して試行されるのは、金銭的価値の高いサイトへのなりすましログインを精度高く行うための準備という可能性もあります(下図参照)。リストの出所については後で考察しますが、膨大な件数の中に1件ぐらい自分のものが存在していてもおかしくありません。従って、これは「いつ」「誰の」身に起こってもおかしくない、とても身近な問題なのです。○リストが生まれてから、攻撃者の手に渡るまでなぜこれだけ大量にIDとパスワードなどのリストが存在するのでしょうか?それは、世の中で多発している情報漏洩事件が一つの原因となっています。昨年に世界中で発生した個人情報漏洩件数は10億件を超えたと言われており、このような漏洩情報に含まれているID・パスワードのリストが一つの出所として考えられます。漏洩した情報は取得した攻撃者自身が利用する場合もあると思いますが、電子データはみなさんもご存知のように、コピー・転送が簡単であるため、これらのデータが売買されているケースもあるようです。違法なブラックマーケットも存在し、こうした漏洩情報以外にも攻撃用ツールなども売買されています。こういうマーケットを通じて第2第3の攻撃者の手に漏洩した情報が渡っていく、というのが一つの考えられるシナリオです。○攻撃は想像より数段ハードルが低い攻撃者、つまり「盗まれた情報を使ってなりすましログインする人」にとって、現在の状況はとても攻撃しやすくなっていると言えます。なりすましの元ネタは、自分でどこかに侵入して入手する必要はなく購入することができます。数十万を超えるリストを手動で処理するのは現実的ではないですが、攻撃用のツールが存在しますのでこれも簡単にできます。攻撃には高度なセキュリティの知識やシステム開発力は不要なのです。誰でもその気になれば、もちろん違法行為であるわけですが、簡単に攻撃できてしまうものなのです。そしてインターネットは全世界につながっています。自国内への攻撃であればリスクが大きい場合でも、海を超えての攻撃をならば容易に捜査の手が及ぶことはないと考えるでしょう。このことも攻撃者にとってはプラスに働きます。○Webサイト側の対策リスト型攻撃の完全な防御は、技術的難易度が高いと言われています。なぜなら、攻撃者の手元に正しいIDとパスワードがあるからです。しかし、リストの精度が低い場合には多くの正しくないIDとパスワードも含まれるので、失敗ログインを攻撃のシグナルとして検知を試みることになります。JPCERT/CCの報告によれば、過去事例においては不正ログインの成功率が高い場合でも10%程度とありますので約9割が失敗ログインとなります。この事実から一定の失敗数を超えた場合に検知やブロックを行います。具体的な対策方法は、失敗の多いIPアドレスからのアクセスを受け付けなくします。そうすると攻撃側はアクセスできなくなるのですが、対抗策としてたくさんのIPアドレスを予め準備し、遮断されると別IPアドレスで再度攻撃、と攻撃側が対策をとるケースが出て来ています。このようにIPアドレスでの遮断だけでは防御が難しくなると、別の対策、例えばCAPTCHA(キャプチャ:コンピュータによる機械的アクセスか人間のアクセスかを区別するために、人間のみが認識できるように加工した文字を表示・入力させる仕組み)を入れます。このように一つの方法では乗り越えられてしまう場合でも複数の対策を組み合わせることで安全性を向上させられます。○DeNAの過去事例実はディー・エヌ・エーも、2013年10月に「Mobage」がリスト型攻撃を受けています。詳細については当時の記事をご覧いただきたいのですが、この攻撃の結果、残念ながら316件の不正ログインが確認されました。以前から仕掛けていた不正アクセス対策によって比較的早い段階で攻撃に気がつきましたが、対策をかいくぐられた期間があったので、その時の状況を踏まえた新しい対策をすぐに追加しました。日々攻撃手法は進化しているため、当社が直接的に受けた攻撃だけでなく、広く世の中で発生している事象に関する情報を収集し必要な対策を随時とり入れています。○安全性を高めるためには上記のように私たちWebサイト側でも努力を行っていますが、攻撃者の手元に正しいパスワードがあればなりすましはできてしまいます。何らかの方法で不正に入手されたパスワードを使って多数のWebサイトへ不正ログインをするという攻撃に対し、インターネットユーザーの皆様が連鎖的な被害にあわないためにできる有力な対策は「パスワードの使い回さない」ことです。パスワードを使い回さないとは、ご自身が利用しているたくさんあるインターネットサービスのパスワードをサービス毎に違うものを設定することです。とはいえ、そもそもなぜパスワードに同じものを使ってしまうかの最たる理由は、たくさんあるとパスワードを覚えられないというものであり、この部分を解決する必要がありますね。パスワードを簡単かつ安全に運用する方法がIPAさんより提案されていますので参考にしてください。他にも様々な工夫・方法がインターネット上で提案されていますので、ご自分にあった方法を見つけて、利用されることをお勧めします。○おわりに今回はできるだけ分かりやすくを目指して、パスワードの使い回しの危険性を実際の攻撃側の状況も織り交ぜてご紹介致しました。キャンペーンのリレー記事はまだまだ続きます。今後具体的事例や技術的により詳しく取り上げる記事が出てくると思いますので、今後もこの企画にご注目いただければ幸いです。著者プロフィール○茂岩 祐樹(しげいわ ゆうき)ディー・エヌ・エー システム本部セキュリティ部 部長1995年日本IBMへ入社しストレージ製品のシステムエンジニアを経験した後、1999年DeNAへ入社。DeNA立ち上げ時から2014年までインフラ構築・運用を統括。インフラの統括と並行して情報セキュリティ分野に取り組み、2011年にDeNA CERTを設立。2014年にはセキュリティ部を設立し、現在はDeNAグループ全体の情報セキュリティを統括。
2015年08月17日JPCERTコーディネーションセンターが2014年よりスタートした「STOP!パスワード使い回し!」というキャンペーンがあります。ほかのサービスで使用しているパスワードを使い回すことで、そのパスワードが外部に漏れた場合、あらゆるサービスから自分の個人情報が漏れる可能性があるため、使い回しには多大なリスクがあると言われています。今回、マイナビニュースでは特集として、JPCERTコーディネーションセンターや日本を代表するネット企業10社から寄稿いただき、「なぜパスワードを使い回してはいけないのか」「パスワードを使い回すとどのようなセキュリティリスクがあるのか」など、具体的な事例を交えて解説を行います。初回は、JPCERTコーディネーションセンターの満永 拓邦氏による寄稿です。○パスワードリスト攻撃をご存じですか?みなさん、パスワードリスト攻撃という言葉を耳にしたことはありますか?パスワードリスト攻撃とは、攻撃者が何らかの方法で事前に入手したIDとパスワードのリストを使用し、他のインターネットサービスにログインを試みる攻撃手法です。もし私が上記の画像のように、「ID」と「パスワード」のそれぞれに、「mitsunaga@example.co.jp」と「M1tsunag@」を複数のインターネットサービスで使いまわしていると仮定します(実際には、このIDとパスワードは使用していません)。攻撃者が脆弱性を利用して、C社のサービスからIDとパスワードを窃取した場合、攻撃者は他のサービス(例えばA社)に対して私のIDとパスワードを用いて不正にログインができてしまう可能性があります。こうした状況では、攻撃者は総当たり的にパスワードを推測する必要がなく、比較的容易に不正にログインができてしまいます。2012年頃からパスワードリスト攻撃による不正ログインの被害を公開する企業が増え始め、その後も継続的に被害が発生しています。それを踏まえて、JPCERT/CCは、2014年9月に、IPA(独立行政法人情報処理推進機構)とともに、インターネットサービス利用者に向けて複数のサービスにおいて同じパスワードを使い回さないよう呼びかけを行いました(JPCERTコーディネーションセンターリリース:STOP!! パスワード使い回し!!パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ)。○なぜパスワードを使いまわすのか?どのくらいのサービス利用者がパスワードを使いまわしているのか。また、なぜパスワードを複数のサービスで使いまわすのか。IPAが行った「オンライン本人認証方式の実態調査」の調査結果をもとにご説明します。このレポートによれば、複数の金銭に関連したサービスサイト(インターネッ トバンキングやネットショッピングなど)に同一のパスワードを使い回している人の割合が約4分の1(25.4%)、金銭に関連したサービスサイトと個人的な情報に関連したサービスサイトに同一のパスワードを利用している人の割合は13.9%でした。かなりの割合の人がパスワードを使いまわしており、この調査結果を踏まえると攻撃者にとってパスワードリスト攻撃は、有効な攻撃手法であるように見えます。また、「パスワードを使い回している理由」で最も多いのは、「(パスワードを同一にしないと)パスワードを忘れてしまうから」が64.1%を占めています。下記の画像からも、「パスワードを忘れてしまうから、パスワードを使い回している」ことが分かります。このことから、「複数のパスワードを忘れずに管理できる方法」が、パスワードを使い回さずにインターネットサービスを利用する有効な手段と考えられます。○対策についてパスワードリスト攻撃による被害の軽減を図るためには、サービス提供事業者における対策に加えて、サービス利用者による適切なアカウント管理も必要となります。この特集では、2014年9月から実施している「STOP!パスワード使い回し!」キャンペーンにご賛同いただいた各企業の方々から、サービス利用者として被害を受けないように取るべき対策や、また各企業において被害軽減のための取組みなどについて解説いただけます。記事を通じて、パスワードリスト攻撃やその脅威について理解が広まり、攻撃への対策が進むことで、攻撃の被害が減少することを心より期待しております。著者プロフィール○満永 拓邦(みつなが たくほう)JPCERTコーディネーションセンター(JPCERT/CC) 早期警戒グループマネージャー京都大学情報学研究科修了後、システム会社のセキュリティソリューション事業部に所属、ペネトレーションテストや情報セキュリティインシデント対応などの業務を行う。また、平成22年度・経済産業省新世代情報セキュリティ研究開発事業「効率的な鍵管理機能を持つクラウド向け暗号化データ共有システム」にプロジェクトリーダーとして研究開発に携わる。2011年4月、JPCERT/CC早期警戒グループ セキュリティアナリストに着任。重要インフラ 向けに脅威情報の収集および分析に従事。JPCERT/CC早期 警戒グループ情報分析ラインリーダを経て2015年4月より現職。「サイバー攻撃からビジネスを守る」等の書籍の共著・監修も行っている。JPCERTコーディネーションセンターとは、ネット上で起こったセキュリティ問題(ネットワークへの侵入や、コンピューターへのマルウェア感染、DDoS攻撃など)について、日本国内の問題の報告の受付、対応支援、状況把握、分析、再発防止策の助言などを行う、技術支援機関。政府機関や企業から独立した期間として、日本の情報セキュリティ対策活動の向上に取り組んでいる。
2015年08月11日三井住友銀行はこのたび、個人の顧客向けインターネットバンキングであるSMBCダイレクトの認証ツールについて、従来のワンタイムパスワード「パスワードカード」に加え、同機能を有するスマートフォンアプリ(Android・iPhone)「パスワードカード(スマホアプリ版)」を8月19日より提供開始すると発表した。また、旧来の暗証カードによるSMBCダイレクトのインターネットでの認証を2016年度上期目途に停止するとしている。○パスワードカード(スマホアプリ版)の概要パスワードカードの持ち運びが不便であるという顧客の要望に応え、スマートフォンアプリにて、パスワードカードと同じ機能が利用できる「パスワードカード(スマホアプリ版)」(以下同アプリ)の提供を開始する。申込方法・利用方法○インターネットでの暗証カード認証の停止昨今、銀行を装った不審なメールや偽画面で顧客の暗証番号等の情報を盗みとり、不正送金を行う犯罪が発生している。SMBCダイレクトはセキュリティ強化のため、旧来の認証方式である暗証カードについて、2016年度上期を目途にインターネットバンキング・モバイルバンキングでの振込などの取引を停止するという。パスワードカードでは取引できないテレホンバンキングなどの一部サービスについては、2016年度上期以降も暗証カード取引を継続するとしている。引き続きインターネットバンキング・モバイルバンキングでの振込などの取引を利用するために、「パスワードカード(スマホアプリ版)」または「パスワードカード」への切替を必ず実施するようにとしている。三井住友銀行では、今後も顧客のさまざまなニーズに応え、きめ細かなサービスを提供するとともに、スマートフォンによる取引への対応を一層強化していくとしている。
2015年07月22日