パスワードの総当たり攻撃を受けて学んだこと
◆ 不安にならないようなパスワードの管理をしよう
インターネットを長くお使いの方であれば、パスワードを含めた個人情報が流出したというニュースは、耳にしたことがありますよね?
最近では、LinkedIn や yahoo.com といった大規模なサイトがニュースになりました。こうしたニュースを耳にする度に不安になる方も多いと思いますが、人間がやることですから、事故は起きるという感じで私は受けとめています。
私は、yahoo.comにもLindedInにもアカウントを持っていましたが、 このアカウントから買い物ができるようになっていたわけではないというのも、不安にならない理由のひとつかも知れません。でもアカウント内を覗かれるのは嫌ですから、 ニュースを目にして直ぐにパスワードを変更しました。
それぞれには、もちろん異なったパスワードを使っています。
同じパスワードを使わないのは、理由があって、YahooやLinkedInといった大規模なサイトの場合には、ニュースとして伝わってきますが、小規模サイトのものであればニュースにならないこともあるのではないかと思っているからです。
というより、十分な技術力がない組織の場合には、そもそもハッキングされたことすら気付かれない場合もありそうです。
もしそのように漏れたパスワードを総当たり攻撃で使われてしまったら、侵入を許してしまうことになります。
◆ パスワードの総当たり攻撃とは?
下の図は先月のこのサイトのアクセス解析ですが、21日~22日にかけて、突出してアクセスがあったことがわかります。そして、アクセスしているページというのが、驚くなかれ、なんとこのサイトのログイン・ページなのです。この日だけで2万数千回のアクセスがありました。
これは悪意のある誰かが、数打ちゃ当たる式に、どこかで仕入れたパスワードを自動的に投入して侵入を試みたということです。まあ、このサイトは、仮に侵入されても経済的な実害を受けるようなサイトではありませんが、侵入されると、ここ踏み台にしてさらに悪さをするということになりますので、それは絶対に嫌です。
ソーシャルメディアも、最近は有料のサービスを提供するところが増えていますし、パスワードの管理には十分気をつけましょう。使い回しは絶対にダメというのが、私の中でのルールのひとつです。
私の場合はノートに記帳して、そのノートは外には絶対に持ち出さないようにしています。いろいろなサイトにログインするための別々のパスワードを一括管理するようなサービスもあるようですが、私的には、アナログなノート式(笑)が、一番安心です。
パスワードは気付いたときに変更するのが良いと言われているようですが、その場合には、ノートよりも単語帳を使うと便利です。
経済的になんの得にもならなさそうなこのサイトでさえ、パスワード攻撃をされてしまうのですから、金融機関などは、頻繁に攻撃されていると予想できますよね?
パスワードの管理を家の鍵の管理と同じように「当たり前のこととして」慣れてしまうには、時間がかかるとは思いますが、避けてはいけないことだと私は考えています。