パスワードは無意味にできる
この記事のサイトWiredのアメリカ版のライターといえば、私達素人よりはかなりコンピュータに精通し、セキュリティにも気を使っているはずなのにそれでも侵入されてしまったそうです。
2012年の夏、わたしのデジタルライフは、ほんの1時間でハッカーに崩壊された。自分のパスワードはすべて堅牢だと思っていた。アップルが7文字、Twitterが10文字、Gmailに至っては19文字で、いずれも英数字を組み合わせてあり、なかには記号まで交ぜたものもあった。しかし3つのアカウントがリンクしていたため、ひとつのアカウントに入り込んだハッカーにすべて掌握されてしまった。
これ以上の文字数のパスワードを設定している人はいますか?
同じ文字数のパスワードすら設定していないのではないですか?
かといって、長すぎても覚えられない可能性が出てきますしね。そもそも未だに8文字程度のパスワードしか設定できないところもあります。
しかも8文字以上入力できないがテキストボックスが広くはなく入力できていると思わせるところもあります。
最初から8文字しか入力できないので、サイト側ではエラーも出ずに通ってしまいます。
さらにまずいのはパスワードなどを設定して、会員登録したあとのログイン画面ではパスワード入力欄に8文字以上入力できてしまうようになっていたりすると、パスワードが間違えているというエラーが出るだけで8文字制限であるせいだ、と気づくことができません。
そんな困ったサイトもあります。
メールアドレスをハッキングされてしまうと、そのメールアドレスを使ったサービスは多くの場合、乗っ取ることが出来てしまいます。
生年月日や住所などの入力で、パスワードがリセットされ、新しいパスワードがメールアドレスに送られてくるからです。
そうなると元の持ち主はもはやそのサービスを利用できません。もとのメールアドレスも当然パスワードは変更されるでしょうからね。
ネットバンクを利用していれば、そのやり取りがメールアドレスに届きますからメールを検索すれば知られてしまいます。
通販サイトの場合には、入力を簡単にするために住所やクレジットカード情報が保存されている場合がありますから、それらを使って買い物をすることもできますね。当然、住所は変更するとか、あるいは贈り物を装って買うこともできます。
その夏、わたしはあらゆるアカウントへの侵入方法を身につけた。外国の怪しげなサイトで4ドルほどの金と、2分ほどの時間を費やせば、わたしでもあなたのクレジットカード番号、電話番号、社会保障番号、住所を調べられる。さらに5分ほどあれば、アマゾン、Hulu、マイクロソフトなどのアカウントへの侵入も可能だ。その後10分で、あなたの電話、ケーブルテレビ、インターネットの回線を乗っ取れる。合計でものの20分もあれば、ペイパルのアカウントまで手に入れられる。
さすがIT情報系サイトのライター、そういう技術もすぐに習得してしまったんですね。
ある程度の基盤となる知識があれば、このライターのように覚えられるわけですから、もともとハッキングやアカウント乗っ取りでお金儲けをすることを目的とした人はもっと簡単に侵入できる数多くの技術を持っていることでしょう。
ITコラムニストとして有名なデイビッド・ポーグすらもハッキング被害にあっているそうですよ。
すでにあなたも手口は理解してくれていることだろう。ログイン情報をリセットするには、秘密の質問に答えなければならず、その答えは本人しか知らないことになっている。ポーグがアップルID用に選んだ質問は、(1)最初に乗ったクルマは? (2)お気に入りのクルマのモデルは? (3)2000年1月1日どこにいた? の3つだった。1つ目と2つ目の答えはネット検索で得られる。ポーグは、最初に乗ったクルマはカローラだと記したことがあり、最近はトヨタのプリウスを褒め称えていた。ハッカーは、最後の質問には当てずっぽうで答えたらしい。世間のご多分に漏れず、ポーグは新しいミレニアムの始まりを「パーティ」で迎えていたそうだ。
有名人はネットでいろいろな情報を披露してしまっているので、ほとんどのことはわかってしまうでしょう。
最後の質問はどこのパーティだったかまで書けばわからなかったでしょうけれども。
FacebookなどのSNSでは多くが実名で登録していたり、そのサービス自体では実名で登録していなくともそれと関連付けているサービスなどで実名を晒していることがあるので、有名人でなくとも同じ目に合う可能性は大いにあります。
このブログでも実世界の人にこの存在を教えれば、個人情報がそこから漏れる可能性もあります。
そうでない場合もアフィリエイト会社などには当然、実名で登録しているので漏れる可能性は大いにあります。
メールアドレスが漏れれば、メールアドレス入会時の個人情報をごまかしていてもそのメールアドレスを使っている別サービスから必ず漏れます。
それらからも漏れない程度の情報しか入力していないとすると、その人はネット上のほとんどのサービスを利用していないことになります。特にお金のやり取りをするサイトはほぼ確実に利用していないでしょう。
パスワードが脆弱であるというタイトルのように誤解されるかも知れませんが、実際にはパスワードを設定しても個人情報からパスワードを無意味にしてしまうことができますよ、という意味なのです。
ソーシャルエンジニアリングというとソーシャル・ネットワーキング・サービスSNSなどに何かの細工をするとかコンピュータを使いこなすデジタル的に高度な技術みたいな感じがしますが、実際にはとてもアナログ的なものです。
SNSやブログ、本、普段の会話、電話帳、学校・会社の名簿などから個人情報を知り、それを使って前述のような秘密の質問に答えたり、もっと大胆なものだとお客様サポートに電話をかけてパスワードや住所を変更してしまったり、新たな個人情報を盗んだりするのです。
この記事の事件で探偵が役所から住所を聞き出した方法もソーシャルエンジニアリングの一種です。
関係者であるかのように振る舞い、個人情報でわからないところは早口でまくし立て、「2回も言わせるな!」と恫喝するのです。
こうなるともう顔も知らない社員や役所の職員を信用するしかありません。
怖い時代ですね。