Script
さらに2分半で、もっとわかる情報セキュリティです。
【1/5】アカウントのゾンビ化
アカウントが乗っ取られたとして、「乗っ取ってやったぞ!」とわかりやすいアクションがあれば、気がついて対応はできると思うのですが、恐ろしいのは、乗っ取られたまま日常を送っているパターンです。
自分のアカウントが、誰かを攻撃するために使われているかもしれないし、誰かにメッセージを送っているかもしれないのです。
さらに、そのパスワードを元に他のアカウントへの乗っ取りを試されているかもしれません。すぐに被害にはあわなくても、より大きな被害へとつながる可能性があります。
FacebookやLINEのグループなど、限られた人だけしか見ることができない場所でも、そこに参加している1人のアカウントが乗っ取られてしまったら、情報は筒抜けになります。
【2/5】CMSの管理画面
たとえばWordPressの管理画面は、デフォルトだと一定のURLになっているので、そのWebサイトの管理画面に辿り着くのは比較的簡単です。
そして、この世界中の管理画面に日々アクセスして、ログインを試みているbotがあります。
プラグインで監視できるのですが、毎日のようにブルートフォースアタック(Brute-force attack)を受けています。ブルートフォースアタックは、総当たり攻撃と呼ばれるもので、4桁のパスワードだとしたら、0〜9、a〜zまでをすべて総当りに試していく方法です。
0001|0002|…|9999 aaaa|aaab|aaac|…|zzzz
WordPressはプラグインで、ブルートフォースアタック対策ができます。
WordPressの管理画面にアクセスされるのを防ぐために、複数の方法を組み合わせます。
管理画面のURLを変更する アクセス認証をかける CAPTCHA(キャプチャ)認証をかける 数回ログインを失敗すると、数時間アクセスできないようにする
【3/5】フィッシングサイト
スパムメールも年々巧妙な内容になっていますが、Gmailでほぼ防げます。
独自ドメインのメールも、Google Workspaceで使うことで、Gmailの迷惑メールフィルタで振り分けることができます。
【4/5】占いサイト
占いサイトに入力した生年月日や性別などの情報が、マーケティングに使われることもあるようです。その人の属性がよりわかるようになるので、この先、商品のレコメンドに利用されるかもしれません。
占いに必要なたくさんの質問に答えていったら、最後にその結果を見るには追加の個人情報の入力を求められるなど、とても巧妙に作られています。
【5/5】ソーシャル・エンジニアリング
パスワードの漏えいの危険は、ネット上だけでなく、リアルにも潜んでいます。
ビジネスマナーとして「失礼になるから」という断りにくい関係性を装って、情報を抜き取ろうとするものです。
過去に実際にあった話で、会社にかかってくるしつこい営業電話をずっと断っていた社長がいました。ある日、会社に社長がいない時間帯にその営業から電話があります。「ケータイが壊れてしまって、社長のケータイ番号がわからなくなってしまったので教えてください」この電話を受けた人は、そういった事情であればと教えてしまったのです。
【Others】パスキー
まだ対応しているサービスは少ないのですが、パスワードを使用しないログイン方法です。
FIDO(ファイド)とW3C(ダブリュースリーシー)の標準規格をベースとした、安全なアカウント認証方法です。
その仕組みや信頼性を確かめたうえで、積極的に新しいものも取り入れていきましょう。