Monthly Archives: 7月 2014

2014年7月12日

LINE乗っ取り対策から考えるセキュリティ対策

photo credit: kryptyk via photopin cc
photo credit: kryptyk via photopin cc

個人的に、『ネットのセキュリティ対策』は『泥棒対策』に似ていると思っています。

戸締りなどの基本的な泥棒対策をちゃんとやっていれば、たいていの場合泥棒は自分の家に侵入することを諦めてはくれますが、だからといって泥棒はその時点で泥棒業をやめることは決してなく、すぐさま新たに侵入できそうなターゲットを見つけに行きます。要は自分が泥棒対策をするというのは、結果的には泥棒に自分以外のヨソに行けと言っていることと変わりません。願わくば、世の中に泥棒という悪事を働く人間がいなくなればいいですが、残念ながらそうはならないのは誰でも知ってることですし、被害者ゼロというのはかなわない理想なのかもしれません。このような現実を踏まえた上で、『自分の身は自分で守る』を徹底するしかありません。

ネットのセキュリティ対策でも全く同じことが言えると思っています。インターネットには便利なサービスがたくさんあります。便利になれば便利になるほど、悪意のある人から狙われる穴(セキュリティーホール)もまた増えます。ネットを活用して何かやるのであれば、『自分の身は自分で守る』ことを考える必要があります。そのために、取り立てて大掛かりな何かが必要だとは思いません。それこそ泥棒対策と同じで、ほんの少しのセキュリティ意識を持つだけで危険はぐっと小さくなります。

ちなみに今回のLINE乗っ取りの件、犯人からアプローチがあった方ならおわかりかと思いますが、明らかに日本語堪能ではありません。日本語を翻訳にかけてなんとか理解しながら詐欺行為を行っている・・・そんな様子です。犯人からしてみれば、日本語という使いこなせない言葉を扱わなければならないという煩わしさがあるにも関わらず、カモだと思っているのか、あえて日本人を狙ってくるあたりにちょっと悔しさを感じてはいます。

「他端末ログイン許可」をオフは対策としては間違い

多くのサイトや各種メディアで今回のLINE乗っ取り対策として、

LINEを開いて「その他」→「設定」→「アカウント」の「他端末ログイン許可」をオフ

というのが紹介されていますが、これは実際のところ、あまり意味がありません。
確かに他のPCからログインできなくはなるのですが、他のスマートフォンからのログインは許してしまうからです。

これだと結局乗っ取り犯人は、
1,スマートフォンから乗っ取る
2,「他端末ログイン許可」をオンに変更
3,PCで詐欺活動開始

という手順が踏めるため、解決になりません。

この誤った対策については、下記サイトでより詳細に解説されています。
参考:【LINE】「他端末ログイン許可をオフ」は間違った乗っ取り対策なので注意

正しい乗っ取り対策については後述します。

止まないLINE乗っ取り被害

有名人でもLINEアカウントを乗っ取られた人が続出しています。
参考:仲里依紗、ヒャダイン、薬丸……芸能界でもLINE乗っ取り被害者続出

7月7日にはLINEが乗っ取り対策を講じたようです。一瞬これで乗っ取りは止むかもしれないと思って見てたのですが、7月12日現在も乗っ取り被害は続いているようです。先ほども触れたようにスマートフォンから乗っ取られている可能性もありそうです。
参考:LINE、乗っ取り対策の決め手になる? PC版に「2段階認証」導入

誰が狙われるかわからない

ちょっと余談になりますが、私の知人、知人の知人まで含めると10名前後の方がLINEアカウントを乗っ取られたと聞いています。少し気になったのは、乗っ取られた人が決してネットに疎い人というわけではなく、どちらかというとネットリテラシーが高めの人であっても乗っ取られている印象を受けています。今回は他のサービスから流出したIDパスワードの使いまわす手口だと言われています。どこのサービスから情報が漏れたのか真相はまだわかりませんが、少なくとも流出元がはっきりしていない以上、普段からインターネットを活用してる人は全く油断ができません。

本件の厄介なところは、乗っ取られる人と金銭被害者が別な点です。自分がアカウントを乗っ取られた場合、金銭被害を受ける危険があるのは自分自身ではなく、自分の知人です。そういう意味で、いわゆる『自己責任』だけではすまない面倒さがあるのが特徴です。

ネットサービス全般ですべき乗っ取り対策方法

結論から言うと大きく2つ、

1,「同じID(メールアドレス)・パスワードセットを使いまわさない」
2,「簡単なパスワードにしない」


今回のLINE乗っ取りにおいてもこの2つ、特に1の「同じID・パスワードセットを使いまわさない」が直接的な対策になります。


1,「同じID(メールアドレス)・パスワードセットを使いまわさない」

今回のLINEのケースは、犯人がなんらかの方法でヨソのサービスのIDパスワードセットを入手し、それを使いまわしていると言われています。そのため、「ヨソで一切使っていないパスワード」に変更してしまえば暫定対応としてはOKです。

LINEのパスワードは、

「その他」→「設定」→「アカウント」→「メールアドレス変更」→「パスワード変更」

から変更できます。
下記のサイトで、LINEパスワードの変更方法がよりわかりやすい画像付きで紹介されています。
参考:【LINE】登録したパスワードを変更する方法

たまたま最近はLINEが狙われていますが、他のサービスでも同じように乗っ取られるリスクはあります。近頃、同様の手口の犯罪は「ニコニコ動画」「楽天ダウンロード」「mixi」「ソニーポイント」「My Softbank」など多くのサイトで起きています。

参考:「パスワード使い回しが原因?アカウント乗っ取り事件が多発中」

サービス毎に別のIDパスワードを使えというのは、かなり前から呼びかけられていることではありますが、あまり浸透しているとは言えません。実際にやってみると相当面倒ですしパスワードを忘れがちですし、デメリットも大きいのもまた事実だからでしょう。

最低でも『絶対乗っ取られたくないサービスだけでもパスワードをバラバラにする』

規模が大き目のサイバー犯罪をやる人にとって、お金が動機になっているケースがとても多いです。(それ以外の動機な場合ももちろんありますが、言及しだすとキリがないのでここでは割愛します。)簡単な話、お金を取られるかもしれないと想像できるサービスはより気をつけたほうがいいと思います。またSNSのように、知人の個人情報が漏れて迷惑をかけるかもしれないようなサービスも十分注意が必要です。

■特に注意が必要なサービス
・お金が直接絡むサービス(インターネットバンキング、Paypalなど)
・SNS(Line,Facebook,Twitter,mixi,Linkedinなど)
・Google、Yahooアカウントなど


もちろん、全てのサービスでパスワードをバラバラにするのが理想なのですが、
上記は面倒でも対策しておくべき最低限のラインだと思います。

2,簡単なパスワードにしない

こちら、今回のLINE乗っ取りの直接の対策ではありませんが、今後他のサービスでも乗っ取りは行われるものとして、その一般的な対策を記載します。

アカウント乗っ取りには先ほどの『ヨソで使っているパスワードを試してくる』手口以外に、『当てずっぽうでこちらのパスワードを当てにくる』手口もあります。こいつのパスワードはこれだろうと、予想できるパスワードをひたすら試してきます。多くの場合、手動ではなくツールを使って自動で短時間でトライしてきます。それこそあっという間に数千、数万通りのパスワード試される場合もあります。

このことを踏まえて、やってはいけないパスワードと比較的安全なパスワードを列挙してみます。

■やってはいけないパスワード
下記のような、単純すぎるもの、短すぎるもの、個人情報があればすぐ予測できてしまうものはNGです。また、これらを単純に組み合わせてみてもさほど安全とは言えません。

-ありがち過ぎるパスワード
×1234
×1111
×aaa
×password
×2014(今年、去年、設定した日付など)
×qwerty
×abcd

-自分の情報
×kashiwagi(苗字・名前)
×1981(生年月日、西暦、昭和)
×(メールアドレスに含まれてる言葉)
×(電話番号)
×tokyo(都道府県、住所)

-簡単すぎる単語、フレーズ
×hello
×yahoo
×iloveyou
×windows
×soccor

上記のような簡単なワードでも、複数組み合わせてみると幾分かは安全になりますが、それでもまだ破られるリスクはかなりあります。
△kashiwagi2014(苗字+現在の西暦)
△1981iloveyou(誕生日+単語)

■安全性の高いパスワード■
破られにくくてかつ、忘れにくいパスワードとして、
覚えやすいワードを入れ子に組み合わせてしまうのは効果が高いと思います。
上記の『△』をつけたパスワードを複雑に入れ子にしてみます。
○kash2i0wa14gi(苗字+現在の西暦)
○1ilov9ey8ou1(誕生日+単語)

これだと、パスワードを当てるために試さないといけない組合わせ数が一気に跳ね上がります。犯人が数百万通り、数千万通りのパスワードを試してきても破られることは少ないです。さすがに力ずくで破るのはあきらめてくれる可能性が高いです。このようにそこそこの長さで構わないので、複雑に入り組ませてしてしまう方が、単純で長いだけのパスワードよりも安全度が高いです。

もちろん、
◎g$yAaA+h4ySJ
◎65HAcv4Nrva
といった完全にランダムなパスワードが一番強度が高いのは言うまでもありません。

まとめ

3行でまとめると、

・「他端末ログイン許可」をオフ・・・はあまり意味がない
・同じIDパスワードの組み合わせを使わない(今回の直接的な対策・乗っ取り全般の対策)
・パスワードは複雑なものにする(乗っ取り全般の対策)