まともなサイトならパスワードって持ち出しても使えないって話

2014年8月19日

昨日書いたこのエントリー。

パスワードもオリジナルでPINコードも設定してるのにLINEが乗っ取られた

これにFacebookやTwitterでついたレスを見ていたら、どうもパスワードの保存についてよく知らない人が多く、自分も専門家ではないけど、初心者程度の知識はあるから簡単に解説してみようと思います。専門家のみなさん、違っていたら教えてください。

まず、一番多い間違い

× LINE中国の人がIDとパスを売ったらしい
× Yahoo!やドワンゴから盗まれたIDとパスが使われた

昨日の自分の書き方も拙かったので、ここで改めて説明しますと・・・
現在の最新のサービスでは、ユーザーが自分で決めたパスワードは、サーバがその場で暗号化して保存します。
この暗号化には「不可逆」のものと「可逆」のものがあります。

2

現在のほとんどの有力サービスでは「不可逆」の暗号化を行っています。この場合暗号化されたものはもとに戻せません。たとえサーバにアクセスしてデータをコピーして取りだしても、暗号化されているので使えないのです。こうしたサービスでは「パスワード忘れた」という動作をすると、新たに再発行したものを送って来たり、仮パスワードにして有効期限設けてたりするのが多いです。LINEの場合は、PCからログインしようとして「パスワード忘れた」にすると、

2

というメッセージがでて、スマホから作業するように言われます。パスワードを忘れた状態ではPCからログインできません。で、スマホから「パスワード忘れた」に進むと、登録してあるメールアドレスにメールが飛んできます。内容は
「こんにちは、このメールはLINEで自動送信されています。以下のURLをクリックし、パスワード再設定手続きにお進みください。https://callback.line.naver.jp/pages/authsupport/changePassword?verifier=××・・・※URLの有効期限は発行後1時間以内です。」みたいになっていて、新しいパスワードを設定できます。つまりLINEは不可逆の暗号化をしていると推測できます。

これでは持ち出してもそのパスワードではログインできません。内部犯行説、内部に侵入されてパスワード盗られた説はここで消えます。Yahoo!とかドワンゴも同じようだと予想するので、こうしたサービスからパスワードが盗られても使えないわけです。ショップとかやってると、リテラシーの異常に低い人から「パスワード忘れたのでメールで送ってください」というのがしばしば来ますが、本人かどうかも分からない相手に送るわけもないし、さらには不可逆で暗号化されていれば、送りたくても送れないわけですね。

可逆性の暗号化については、たとえばSoftBankのマイSoftBankとかがそうではないかと思います。というのはパスワード忘れたにすると、パスワードがSMSで送られてきます。つまり暗号化されたであろうパスワードを平文に戻しているのでこの暗号化は可逆性のものであると推測できます。
本当は不可逆性のほうが安心できるのですが、携帯の場合はガラケーの人も多く、または有効時間の限られた新しいパスワードを送っても理解できずにオリジナルに変更せず、「またログインできなくなった」と言い立てるリテラシーの低い客が多いと思われるのでこうしているのではないかと推測します。でも「暗証番号」と「登録電話番号」が必要なので、そこそこ安全ではないかと考えられます。

しかし、可逆性がある場合は、暗号化したロジックと一緒に暗号化されたパスワードを盗めば、平文に戻すことも論理的には可能です。

去年もAdobeから大量流出しましたが

Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用

同社によると、流出したパスワードは暗号化されていたが、パスワードセキュリティを手掛ける米Stricture Consulting Group(SCG)はこの情報を分析し、使用者数の多かった上位100のパスワードを割り出した。

可逆性だったので専門家によって解読されています。

超ヤバいのは平文でパスワード持ってるサイト

Yahoo!もドワンゴもLINEも、平文でパスワードを所有しているサイトからパスワードが盗まれ、同じIDとパスの組み合わせで不正ログインされたと考えているはずです。ドワンゴの場合

これによる被害は21万9926アカウントで、不正ログイン試行回数は220万3590回にものぼる。そのほかの被害は次の通り。

ここからの引用です
と発表されているので、成功率は10%。パスワードを自動生成して1人に何千回も適当にあててくる「ブルートフォース」という方法では成功率10%もあるわけはなく、どこかのサイトでゲットしたメルアドとパスワードの組み合わせを当ててみたら「ユーザーが存在して、さらにIDもパスワードも同じだった人が10%」ということになるわけです。

ではどういうサイトが危ないのか・・・まず考えられるのは

登録パスワードをメールで送ってくるヤツ

です。パスワード忘れたとすると、登録したメルアドにそのまんまのパスワードを送ってくる。平文で保存しているとは決めつけられないが、しかし本人確認はメルアドしかないのに平文でパスワード送ってくる時点でセキュリティ意識が大甘。メールのパスワードが分かったら誰でもアカウント乗っ取れます。そんなサービスいまでもあるのかと思うでしょうが、昔からやってるところで数百万人のユーザーがいるところですが・・。

2
こことか・・・もちろん「平文で保存している」と決めつけているわけではなく、可逆性の暗号になってると希望したいです。しかしいまどきこんな感じなら、ハッキングされても気づかないだろうとわたしは思います。

しかしここ昨今もこんなニュースが・・

「@PAGES」のユーザー情報流出は17万件超 パスワードは平文で流出

と、パスワードを平文で持っていて、そこに侵入されて20万人近い人のIDとパスワードが流出した事件がありました。@PAGESってどういう会社か知らないけど、世の中に多いスパム打ちまくる出会い系とか、儲かることならなんでもやる情報商材屋とか、ペニオクとか怪しいゲームみたいにユーザーなんてどうでもいいと考えている場合、パスワードを平文で持っていて、逆にIDとパスが溜まったら売って金にするくらいのことはやりかねないところもたくさんあると思う。

自分のLINE友達が乗っ取られた確率は現在1/60、LINE友達がずっと多いホリエモンに聞いてもほぼ同じ確率。しかし地方出身でリテラシーが非常に低い友人揃いというエンジニアのS君は、そんな比率じゃ無くてなんと10%くらいがやられたらしい。逆にリテラシーが低い友人が多くても、女性の友人が大半を占めている場合、ほとんど乗っ取られていないというケースもある。

勝手な推測ですが、リテラシーの低い場合、女性ならいろいろなサイトに登録することはあまりないと思うんだが、男性の場合は出会い系とかゲームとかやたらめったら登録しそうで、そこからIDとパスが漏れ、使い回しているだろうLINEやポータルや大規模サービスにそのIDとパスがあてられたという可能性が高いんじゃ無いかと睨んでおります。しかし昨日書いたLINE乗っ取り事件は使い回しのパスワードで無いわけで、これが一番の謎なのです。

ところで今度レポート書きますが、Withingsから出たワイヤレスのクラウド型血圧計買いました。体重計も持ってるので、クラウドで自分の体重、脈拍、体脂肪、血圧の推移を記録できます。こちらはiOSとAndroidの両方で使えますよ。健康管理も凄い時代になりましたなぁ〜

  • 0
    このエントリーをはてなブックマークに追加
  • 0
    follow us in feedly
PAGE TOP