  |
はてなキーワード: パスワードリスト攻撃とは
掲題の件そのままの内容です。
bitflyerに置いてあった153万円の内訳は
150万というのは今の自分にとって貯金の約3分の1の額です、
危険な状態のまま放置しており、昨日一瞬にして失ってしまいました。
知人とか家族に気軽に話せるような内容でなく、でも
どこかに吐かないと正気を失いそうなので増田に長文書き込ませてください。
153万円を失った昨日の今日の話になりますので多少ご勘弁願えればと思います
*****************
昨日(2019.3.2)の17時頃、私のbitflyerのアカウントへ何者かが不正にログインし、
そこに預けていた日本円約153万がほぼすべてイーサリアムに変えられた上で、数回にわけて全額外部へ送付されてしまいました。
ことのあと、153万あったはずの日本円の残高の数字が、こ確認したらたった数百円になっていました。
原因は bitflyer のアカウントとして登録していたメールアドレスとパスワードの組み合わせが
他のサービスでも利用しているアカウントのメールアドレスとパスワードの使い回し(全く同じ)だったの1点です。
#戻れるなら過去の自分を殴り倒してbitflyerアカウントだけでも今すぐパスワードを変えさせたい
つまりそのアカウントのメールアドレスとパスワードの組み合わせがどこかで先に流出していて
そこから私のGmailやbitflyerのアカウントに対してパスワードリスト攻撃がなされたみたいです。
「お使いのアカウントで通常とは異なるアクティビティが検出されました。
アカウント アクティビティを確認し、自分以外の人がログインできないようにしてください。」
というメッセージが表示され、明らかに誰かが私のGmailアカウントへ不正にアクセスしていた形跡がありました。
bitflyerから外部に仮想通貨を送付するさいに2段階認証のコードを求められますが
そのコード自体が、上記の乗っ取られたGmail宛に届くような設定になっていたので完全に型なしでした。
携帯SMS宛にもbitflyerから身に覚えのない「2段階認証」の番号が通知されてきたので、私自身はそのとき異変に気がつきました。
そのあと20分後くらい(ここも即座に確認しなかった自分をぶん殴りたい)にGmailにアクセスしたら上述の「不審なアクティビティ」のメッセージや
「イーサリアム送付完了」のといった件名のメールが数件届いていることがわかって、明らかにおかしいと気が付き、あわててbitflyerのパスワード変更とアカウント凍結を実施しましたが
いずれも預けていた円で勝手に買われたイーサリアムが全て外部へ送付されてから約30分後のことであり、完全にあとのまつりでした。
いま情報セキュリティマネジメント試験の勉強をしていることもあって「同じパスワードを使い回す」というのは危険だというのは知っていたんです。
にも関わらず、どこか他人事のような感じがしていて、自分自身については同じアカウントを使いまわしていた有様で、何の対策もしておらず、ついぞ昨日、被害の当人となってしまいました。
情報セキュリティの勉強をしている人間が、その最中にまさにテキストに載っているような被害に実際に合うなんて皮肉すぎますよね。
自分が愚かで馬鹿なだけなんですが、実際に被害にあったんだと認めざる得なくなったとき、自分に対しての乾いた笑いが少しの間こみあげてきて止まらなかったです。
いま本当に惨めな気持ちでいっぱいです。
帰省してまとまった時間が取れたから、じゃあ何しようかなって思ってふと、カーチャンのネットに対するセキュリティ意識どうなってるのかなと思ったのです。聞いてみると、丁寧にメモ帳に手書きで残してありました。でも、だんだんと数が増えて面倒になったのか、パスワードの使い回しが散見されていたのです。これはマズイということで、見直しを行いました。その時に考えたことをみんなに共有したくてこの記事を書くに至ったわけです。
LINE乗っ取りの件もあって、ちょくちょくと話題になるけども実際に行動に移していないそこのあなた!
これを期にやってしまいましょう。
なんだかんだで手入力せざるを得ないときはあるため、「頻繁に使うサービス」と「たまに使うサービス」を分けて管理します。
あなたはもう記憶しきれないほどのサービスを使っていることでしょう。だから信頼できるアプリに管理を任せます。
オススメのアプリは世界的に利用されている「1Password」です。ちょっとお高いけど、PCでもiPhoneでも使えるし、ログインを楽に行う機能がいろいろ付いています。Android版もあります。カーチャンに買ってプレゼントしました(父さんは自腹…というのは冗談であんまりネット使わないみたいだから共用)。
たまに使うサービスは、この「1Password」を使って複雑なパスワードを自動生成して、必要なときにここからコピペして認証します。
「1Password」自身にかけるマスターパスワードは、もともと使っていたメモ帳にはっきり書いてもらい、他のは捨てました。代わりに、アプリの使い方や追加/変更するときの手順を書いてあげました。
例えば、Appleのサービスはよく使うため、パスワードを手入力することが多いです(再起動後のStoreとか)。他には、ブラウザのシークレットモードを使ってGmailを他人の端末で一時的にログインして使わせてもらうような場合もあるでしょう。こういう場合のために、自分ルールを作って導き出せるようにします。
ちなみに、Gmailは8文字(警告あり)という条件のみ、Facebookは6文字という条件(最終更新時期の明示あり)のみ、でした。
その中でも大きいのが、「サービスによって記号を使えるかどうかが分かれる点」「入力時には条件がわからない点」「設定できる限界文字数が違う点」です。記号を取り入れることは実はそこまで効果が高いわけではないようなので[要出典]、というか現に「Apple ID」では強制されていないので、記号を使わないことでルール違いの壁を回避します。長いことのほうが重要です。
では具体的にパスワードを決めましょう。例えば、
この例だと具体的には『ma2uda99App1e7yg7yg7』(20文字)となります。しかし、これだと使い回しによる機械的な「パスワードリスト攻撃」を防ぐことができても、人間に見られてしまっては『ma2uda99Goog1e7yg7yg』と推測されてしまいそうです。なので、更に工夫してルールが見えにくいように『Goma2uda99og1e7yg7yg』とします(サービス名の頭2文字を先頭に移動した)。これは例なので、実践する時は自分なりに工夫してくださいね。1年に1度は必ず変更するルールにして、年の情報をうまく混ぜてもいいと思います。
手入力用のパスワードは、多くても5個くらいにとどめておいたほうがいいでしょう。もちろんこのルールで決めたパスワードも「1Password」に登録します。よくわからなくなったら「1Password」を頼ればいいんです。どこぞの航空会社とかでは文字数制限的にこれらのルールが当てはめられなくてどうにもできないんですけどね。。
これを書いていて、やっぱり面倒だな~…と自分でも思いました。そういう場合は全部「1Password」に任せましょう。高くて買えない場合は代替ソフトか、実物のメモまたはiCloudのメモアプリでもいいんです。短くて推測されやすいパスワードを使いまわすよりよっぽどいいです。今はブラウザのパスワード記憶もありますしね。
実際、カーチャンにはさすがにないなと判断してすべて「1Password」に統一してもらいました。
これらを実践すれば、使いまわしていた人は覚えるべきことは増えてしまうかもしれませんが、今までよりも安心して過ごせるはずです。自分の怠惰さとセキュリティリスクを天秤にかけて、どうすべきか選択してください。
また、万が一のために「1Password」に保存した内容のバックアップもしておきましょう。暗号化していないテキスト形式で取り出すこと(エクスポート)ができるので、定期的にそのファイルをZIPにし、マスターパスワードと同じものをつけてローカル保管しておきます。マスターパスワードは、事故に遭ったりしたときに家族に知らせられるようにしておきます。こういった利点もあるんですね。
なお、私自身を特定されたくないのと、もうこれは自分の利益じゃなくて国レベルでちゃんとすべきだと思うのでここに書くことにしました。これじゃダメだ議論をする人やセキュリティにお詳しいあの人やあの人!もっともっと啓蒙してください。あーだこーだ言ってないで、じゃあ具体的にどうするのか優しく提示してあげてください。
この記事よ、広まれ~~!
