リスト型アカウントハッキングとみられる不正アクセス事案が急増している。mixi、ニコニコ動画、はてな、などの大手WEBサービスに相次いで大量の不正ログインがあったことが公表された。アカウントの乗っ取り事件が大量に起きているわけだが、いずれも自社サービスからIDとPWが漏洩したわけではなくリスト型アカウントハッキングだ。各社はユーザーにパスワードを変更するように注意を呼びかけている。
リスト型アカウントハッキングとは、悪意を持ったものが、なんらかの方法で取得したIDとPW(パスワード)の組合せを用いてログインを試みる手法。ユーザーはIDとしてメールアドレスを用い、パスワードもいつもと同じものを使うという傾向が強い。そのため、メールアドレスとPWがなんらかの方法で漏洩すれば、その組合せを用いて、他のWEBサービスにログインされてしまうことになる。危険なIDとPWの組合せは、いつもと同じメールアドレスといつもと同じパスワードなのである。
リスト型アカウントハッキングに関する検索結果画面
WEBサービスを提供する側からすれば、IDとPWが正しければ正規ユーザとみなす。そうしないと、正規ユーザがいつでもどこでもサービスを使えないからである。つまり、IDとPWの管理(とくにPWの管理)はユーザーの自己責任によるところが大きい。
IDであるメールアドレスは自分だけが知っているという状況にはできない。コンタクトをとりたい外部に知ってもらわないとメールアドレスは使えない。だからPW管理がとくに重要なのである。
PW(パスワード)管理
PW管理の心得としては以下のことがあげられる。
- パスワードを見破られにくいものにする(名前、誕生日、電話番号などにしない)
- 英数記号の組合せで8文字以上にする(abc,123,%&$などを含ませる)
- 定期的に変更する(毎月変更するという方法もある)
- 使わいまわしをしない(すべてのWEBサービスで同じパスワードというのは危険)
- 二重認証サービスなどセキュリティが強固なWEBサービス以外は使わない(金融系やGoogle、ヤフーでは二重認証のしくみがある)
- ID(メールアドレス)とPWだけでログインできるWEBサービスは必ずPWを別なものにする(ニコニコ動画、mixi、はてな、ツイッター、フェイスブックなど、なお使わないのならいっそ退会してしまう)
- 自社運営のWEBサービスではログイン画面をSSLにしたり、ベーシック認証をかけたりして保護する
すべてを実現するのは困難も多いが、できるだけ複数の施策によりPWを守る意識が必要である。
▼参考資料
総務省の発表
「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表
この記事を書いた遠田幹雄は中小企業診断士です
遠田幹雄は経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。
小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係る総合的なコンサルティング活動を展開しています。実際にはWEBマーケティングやIT系のご依頼が多いです。
民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣や中小企業基盤整備機構の経営窓口相談に対応したりもしています。
保有資格:中小企業診断士、情報処理技術者など
会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。
お問い合わせは電話ではなくお問い合わせフォームからメールにておねがいします。新規の電話番号からの電話は受信しないことにしていますのでご了承ください。
【反応していただけると喜びます(笑)】
記事内容が役にたったとか共感したとかで、なにか反応をしたいという場合はTwitterやフェイスブックなどのSNSで反応いただけるとうれしいです。
遠田幹雄が利用しているSNSは以下のとおりです。
facebook https://www.facebook.com/tohdamikio
ツイッター https://twitter.com/tohdamikio
LINE https://lin.ee/igN7saM
チャットワーク https://www.chatwork.com/tohda
また、投げ銭システムも用意しましたのでお気持ちがあればクレジット決済などでもお支払いいただけます。
※投げ銭はデジタルコンテンツ購入という通販のしくみにしました。
※投げ銭は100円からOKです。シャレですので笑ってください(笑)
