さて、これらの攻撃への対策はどうすればいいのだろうか。各社はプレスリリースの中で「再発防止に努める」といった言葉を連ねているが、本当にサーバ側の対策のみで守れるのだろうか?
単純なサーバ側の対策としては「アカウントロックアウト」がある。一定時間内に数回ログインに失敗するとアカウントをロックし、一定時間、もしくは解除設定をするまでログイン処理をできないようにするといったもので、総当たり推測型の不正アクセスを防ぐ。
だがこれまでの説明でお分かりの通り、「リスト型攻撃」においては、非常に少ない回数、場合によっては1回目のログインで侵入に成功されてしまうので、あまり意味をなさない。
となるとサーバ側でできる対策は、「二要素認証」など、現在の「ユーザーID+パスワード」による認証に、新たな認証方式を1つ加えて認証の強度を高める手法となる。だが、運営サイドにとっては、導入に相当の時間やコストといったリソースを割くことになるため、多くのサイトで今すぐ導入されるとは考えにくい。
となればこれは、われわれユーザー側が、自ら気を付け、自ら守らなければならない問題ではないだろうか。つまり、パスワードの使い回しをやめることだ。
筆者は過去にもこの連載を通じて、パスワードの使い回しがもたらす危険性について警告してきた。繰り返しになるが、われわれユーザーが今すぐにでもできる対策は、パスワードの使い回しを止めることである。
セキュリティ・ダークナイト(6):パスワードの定期変更という“不自然なルール”
http://www.atmarkit.co.jp/ait/articles/1102/04/news117.html
「では、どうすればパスワードの使い回しを止めることができるのか?」
こう質問をされたときにいつもオススメし、筆者自身も利用しているのが「パスワードマネージャ(パスワード管理)ソフト」(以下、パスワードマネージャ)である。
簡単に説明するとパスワードマネージャとは、複数のサイト/サービスのユーザーIDとパスワードを記憶させ、一元管理するソフトである。パスワードマネージャを管理するためのパスワード1つを覚えておけばよく、他のパスワードを覚えておく必要がなくなる。中には、パスワードを記憶、管理するだけでなく、ブラウザの追加機能として動作するものもあり、そうしたツールではブックマーク(お気に入り)を利用する感覚でサイトへのアクセス、ログインを実現できる。
ツールの名称 | URL |
---|---|
KeePass Password Safe | http://keepass.info/ |
1Password | https://agilebits.com/onepassword |
LastPass | https://lastpass.com/?lang=ja&ac=1 |
RoboForm | http://www.roboform.com/jp/ |
ノートン IDセーフ (ノートン360 マルチデバイス/ノートン インターネットセキュリティ) |
http://jp.norton.com/portal-IDsafe/promo |
Password Manager | http://safe.trendmicro.jp/purchase/pm.aspx |
パスワードマネージャの詳細や使い方については、連載第10回の「フィッシング対策 of Life」で触れている。こちらも併せて一読いただければ幸いである。
セキュリティ・ダークナイト(10):フィッシング対策 of Life
http://www.atmarkit.co.jp/ait/articles/1211/01/news040.html
前述の通り、筆者はセミナーなどさまざまな場で、「パスワードの使い回しを止めるために、どうすればいいのか?」という質問を受けるたびに、「パスワードマネージャの導入」を勧めるようにしている。ときにはデモを行って、その便利さを体感してもらうこともしている(なお、筆者は別にパスワードマネージャの開発企業の回し者ではない。念のため)。
それでも、導入に踏み切る人はそう多くはない。「他に方法はないか?」と聞かれることが多い。そんな方には、こちらから次のように尋ねることにしている。
「何に対する、どこからの、どんな攻撃・脅威を心配していますか?」
この質問に対する答えは、ほとんどの場合、
「Web上のサービスに対する、広大なネットのどこかにいる攻撃者からの、不正ログイン」
となるだろう。
この回答から考えると、パスワードを手帳にメモしておくこと、あるいは付箋に書いてモニタに貼っておくことも、場合によっては悪い選択肢ではないと筆者は考えている。たいてい「これではダメですよね?」とか「そういうやり方はよくない!」という反応が返ってくるが、検討の余地はあるはずだ。
もちろん、その紙が人の目に触れないようにし、物理的に守ることが前提条件ではある。会社のデスクなど、簡単に人の目に触れるところに置かれたモニタに付箋に書いて貼っておくというのは論外だ。しかし、一人暮らしをしていて、自分の目にしか触れないという環境下においては問題ないだろうといえる。ネット上にいる攻撃者が、あなたの手帳や付箋を見ることなどできない。
確かに、これらは原始的で稚拙な方法かもしれない。だが、パスワードマネージャを使わない(使えない)のであれば、安易なパスワードを設定したり、複数のサイトでパスワードを使い回すことに比べると、ネット上にいる攻撃者に対する防御としては格段にセキュリティレベルが高い方法といえるのではないだろうか。
筆者としてはむしろ、パスワードの使い回しをするくらいならば、メモ書きという選択肢を選んでほしいくらいである。それほどパスワードの使い回しのリスクは大きくなってきていることが、昨今の事件を見ても分かるだろう。パスワードを使い回ししていなければ、自分が使用しているサービスでIDとパスワードが漏えいしたというニュースが飛び込んできても、変更すべきパスワードは1つだけで済む。その分労力も少なく、精神衛生上もよい。
不正ログインに限らず、世の中にはあまたの脅威が存在する。その「あまたある脅威から、とにかく守る」という考えでアクションを起こすと、予算や時間などのリソースがいくらあっても足りないだろう。
まずは、
守りたいものが何なのか?
それは、どこにある何なのか?
それは、どこからの脅威にさらされているのか?
という事柄を明確にした上で、対策を考えなければならないと筆者は常々考えている。そこからアプローチしないことには、無駄にリソースを使ってしまったり、優先順位を誤ってしまったりで、本当に適切な対策はできないのではないだろうか。
上記の流れを今回取り上げた不正アクセスに当てはめると、
個人情報、クレジットカード情報を守りたい
それは、オンラインのサービスに保存されている
それは、オンラインに存在している敵からの、不正ログインという脅威にさらされている
ということになる。たとえ複雑なパスワードを設定していても、それを複数のサイトで使い回していれば、どこか1カ所から漏えいした場合に簡単に不正ログインされてしまう。
となると、やはりパスワードの使い回しを止めなければならない。ここで2つの分岐が生まれる。「パスワードマネージャを使う」か、「条件付き保護をする前提で、物理的手段で保存するか」である。ぜひこの選択肢を検討していただきたい。
どこにある何を、どのような攻撃・脅威から守りたいのか
これを忘れなければ、真に行うべき対策が見えてくると筆者は信じている。
なお、実際にお会いすることができた方には、パスワードマネージャの良さをデモしても良いとも考えている。:-) 1人でも多くの方がこの記事を読んで、パスワードの使い回しを止めていただければ、それに勝る喜びはない。
Copyright © ITmedia, Inc. All Rights Reserved.