あなたのソーシャルアカウントは今初めて乗っ取られた訳ではない

2015年3月16日

LINEの乗っ取りがセキュリティ強化後に全く無くなったと思ったら、次はFacebookとTwitterに来ています。

Screenshot_2015-03-07-05-08-29

疎い人ばかりではない。Facebookで友人を中国の偽物UGGにタグ付けしていたアカウントは、IT系上場企業の社員の人も数名いた。立場上「穴があったら入りたい」くらいだとは思うが、IT企業に勤務していてもソーシャルのセキュリティには詳しくない人もたくさんいるという証明を身をもってしてくれている。

殆どの人は乗っ取られてはじめて「やられた」と気づく。しかし本当はそうではない。あなたはずっと乗っ取られぱなしだったのだ。本日はソーシャル乗っ取りの仕組みについて、簡単に説明したいと思う。

アカウントとパスワードの使い回しはここから漏れた

当初LINEから漏れたと大騒ぎになっていたが、業界でこれが元になったんじゃないの?と言われてるのが(わたしが言い出したんじゃないです ww)

Yahoo! JAPAN、不正プログラムで127万件分のID情報抽出、情報流出はなし

不正プログラムが強制停止した時点で抽出されていたデータは、約127万件分のYahoo! JAPAN ID情報(ユーザー名、パスワード、登録メールアドレス、パスワードを忘れたときの再設定用情報の一部)。

Yahoo! JAPANに再び不正アクセス、最大2200万件のID情報流出の可能性 2013.05.18

Yahoo!は確かに侵入はされたが外部には漏れていないとしていたが、のちのリリースでは

5月17日に発表いたしました「当社サーバへの不正なアクセスについて」の件で、引き続き調査を続けていたところ、新たに前回の最大2200万ID(Yahoo! JAPAN総ID数 約2億)のうち、148.6万件については、不可逆暗号化されたパスワード、パスワードを忘れてしまった場合の再設定に必要な情報の一部が流出した可能性が高いことを確認いたしましたので、ご報告いたします。

となっています。これについての検証記事が読売に

Yahoo!のパスワード流出、実は「他サイトが危険」?

今回流出したのは、パスワードそのものである平文ひらぶんではなく、「ハッシュ値」と呼ばれるものだ。
・・中略・・
ネットワークセキュリティーに詳しいNTTコミュニケーションズの北河拓士氏によれば、「ハッシュ関数やハッシュ化の方法がわかれば、総当たり攻撃や辞書攻撃などによって、パスワードを解読することは可能だ」とのこと。ハッシュ値から直接的に元のパスワードを出すことはできなくても、たくさんの文字列のハッシュ値を出し、合致するものが出てくるまで繰り返せばいい。また、単語や誕生日といったよく使われる単語であれば、わずかな時間で計算できてしまう。

で、がっちり予告されていました。。またこうした大手サイト以外にも不正ログインされたケースも多いだろう。気づかないケースも多数あるでしょ。このあと・・

『ニコニコ動画』22万アカウントが不正ログインされる 被害額17万円分で個人情報も漏洩 2014.06.13

こちらは完全に不正ログインされてます。また大騒ぎになったLINEの乗っ取りと同時に

mixiで26万件超の不正ログインが発生 – 試行回数は430万回以上、今なお攻撃が継続

地味に(笑)mixiもやられていた。使ってないから気づかないよね。
ここからジッちゃんの名にかけて推測すると、それまでに流出したIDとパスワードの組み合わせが解析されてから中国の犯罪者集団に売られて攻撃が始まった。と考えるのが普通じゃないかな。あくまで推測ですよ。どのサイトでもだいたい20数万人の不正ログインになってる。Yahoo!から漏れたのは150万件だが、150万件のうち、そのまんま他のサイトで同じIDとパスワードを使い回していたのが7人に1人的な感じなのかもと考えるとぴったりです。
IDとパスワード誰が漏らしたんだ、という前に状況を理解して防御すればいいんです。そうすれば乗っ取られない。

あなたのIDはいま乗っ取られたわけではなく、ずっと前に乗っ取られていた

LINEの乗っ取りもFacebookもTwitterもそうだが、すべて乗っ取りは人間の手で行われている。偽UGGとか偽レイバンとか偽楽天とかは上海に根城を持つ大規模な犯罪者集団が行っているとされている(中国当局はなにもしないところを見ると、賄賂とかたっぷり使ってるかそもそも官民一体だったりと疑ってる)が、LINEの乗っ取りを見てもコツコツ手作業です。

特にLINEの乗っ取りは単にタグ付けやリツイートと違って会話という一手間がかかるので大変だったと思う。www
仮に1000人規模でやったとして、ひとりが1日20アカウント侵入して、20万アカウントをすべてやっつけるのは10日かかる。LINEなんて1日20件も絶対できないしな。だからとりあえず不正ログインができるかだけ確認して、実際に乗っ取って作業を始めるのは優先順位を付けたはずだ。この時点でおおかたの人は「不正ログインをされている」のであります。
ひとりずつ順にやっつけられていって、自分の番になった時はじめて

やられた!

と、気づく。おせーよ。とっくに乗っ取られていたのよ、チミ。

パスワード管理より有効な?2段階認証の設定

サービスによってパスワードを変えるのは当たり前と言えば当たり前だが、毎回ログインのたびに紙を取り出してごそごそというのはきつい。パスワード管理アプリもあるが、それ自身の安全性どうよという気もして自分はEVERNOTEで管理している。これだとどの端末やPCからでもアクセスできるしね。

全く使ったこともない人はこちら。ちょっとネタが古いけど漫画だから・・いまはもっと高機能になってます

当然、EVERNOTEは独自のパスワードで管理して、2段階認証も設定している。怖いのは端末を無くしたときだが、各端末ごとにセキュリティは最高レベルにしているし、Evernoteは他の端末から「設定 → アプリケーション → 端末」を選択してアクセス権を取り消せる。端末を落としてもロックは掛けてあるし、念のためにもう一つの端末からAndroidデバイスマネージャーで中身を消去してしまう体制です。
iOSも同じ事ができるが、iPhone1個だけでPCない人はどうしようもないので諦めてくれ。www。あ、ネカフェでブラウザからログインすれば管理できるけどそもそもスマホのみ一個持ちの人はこのブログ絶対読んでないから関係無いし。

で、どのサービスも、パスワードの使い回しをやめるより、2段階認証の設定のほうが重要です。仮にパスワードが漏れても2段階認証が設定されていれば、Google謹製の2段階認証アプリを設定したスマホさえ渡さなければ絶対ログインできないからです。謹製アプリ入りのスマホを無くした時の用心に別のスマホでも設定しておくと良いです(Google様の解説と具体的な方法)
とりあえずiOSはコレ

これで、Googleアカウント、DropBox、Facebook、WordPress、Evernote、Microsoft、Yahoo!などの2段階認証がすべてできます。

Facebookは
設定 → セキュリティ → ログイン承認から
◎携帯へSMSテキストを送信
◎メールにへテキストを送信
◎アプリまたはGoogle謹製コードジェネレータを使用
から選択できます。
こうしておけば、仮にIDはパスが漏れてもログイン自体ができないし、通知がすぐ来るので攻撃された事が分かる。

Twitterは
設定 → セキュリティとプライバシーから「ログイン認証」を設定します。
スマホのアプリか、携帯電話へのSMSを選べるんですが、自分は前者。仮に誰かがIDとパスワードを盗んで初めてのブラウザから投稿しようとしても、アプリに通知が来て、許諾しないと投稿できません。この時点でパスワードを変更してしまえばよい。

そんなわけで、もちろんパスワードの使い回しは止めた方が良いが、2段階認証の設定してない人はまずコレです。これだけ書いてたのにまた乗っ取られる友人がいたら、友人とかフォロー切ります。よろしくね。

  • 0
    このエントリーをはてなブックマークに追加
  • 0
    follow us in feedly
PAGE TOP