情報弱者のために不正アクセスをまとめてみる

前の記事を見たら3ヶ月前でした。

大家との決着はまだついていませんが、一言で言うとあちらから契約更新を拒否されている状態です。

不動産にも入ってもらって、役者はそろいました。

えぇ、今後の椛澤にも目が離せませんね

 

さて、今日の記事は最近話題になっている不正アクセスについてまとめてみます。

ここ最近、6月に入ってからいろんなところでニュースになっていると思います。

 

mixiで約4万アカウントに不正ログインの可能性、パスワードリスト攻撃か -INTERNET Watch

ニコニコ動画に不正ログイン22万件 LINEも被害か:朝日新聞デジタル

パナソニックの会員サイトで不正アクセス、顧客情報7.8万件流出か | Reuters

ドラクエ最新作、勝手に大量購入 楽天に不正アクセス:朝日新聞デジタル

 

いやあ、多いですね。本当に。

 

 

不正アクセスとは

まずは不正アクセスってなんだって話なのですが、だいたいググれば分かります。

不正アクセス行為の禁止等に関する法律 - Wikipedia

要は、アクセス権が無い人が不正にアクセスする事です。

もっと具体的に言えば、この記事を読んでる人が僕になりきって、記事を書くことです。

これがhatenaじゃなくてamazonなら僕の代わりに商品注文出来ますし、アカウント退会とかもできますね。

 

で、何が言いたいかっていうと

多くの人が不正アクセスについて誤解している気がします。

(情報系の大学に進んでいる学生でも分かんない人が居るんだから、もう世間の皆様にとっちゃ分かる訳ないよなあと。)

よく勘違いしているのが、サービス側の問題で不正アクセスが起きていると勘違いしているということ。

 

もちろん、僕は上に挙げた会社のセキュリティの内容を全て知っている訳ではないので、サービスに全く問題がないとは断言はできないのですが、

なんでサービス側に問題があるのにニコニコ動画ではたった22万人のデータしか流出しなかったのか?

ということを考える人があまりにもいません。

サービスに問題があるなら、ユーザーの情報全部抜けるじゃん、なんで22万人だけなの?って思わないんでしょうか。

そう、それは攻撃手段

みなさんはなぜかハッカー達がサーバに侵入してデータを抜けるとか考えてるかもしれませんが、社内エンジニアはセキュリティを考慮せず、個人情報漏洩のリスクを誰も考えない、相当ノーガード戦法をとっている会社で起こりうる事だと思っています。まして上に挙げた会社がそんな人の集まりなわけがないでしょう。(あるいは、その人数分しかDBにデータはいってないんでしょ?とか言う人もいた、どんだけ細かく分類するんだよww例えば俺のデータはどこのDBに入るんだよwww)最近話題になっているのが、パスワードリスト攻撃と呼ばれる攻撃方法。例えばあなたが僕になりきってブログを書きたかったら右上のログインで僕のidとパスワードを当てればいい。すごい適当に言えば、[a-z][0-9]と記号の全ての組み合わせを実行すればいずれは僕のアカウントにたどり着けるはず。でもそれだと効率が悪いから、よく使われるパスワードをファイルにまとめておいて、それを実行すればいい。それを手でやると面倒だからPCにやらせよう。っていうのがリスト型攻撃です。最近何かに新規会員登録をする時に、もっと文字種使えとか短いとか、言われた気がしませんか?それはリスト型攻撃(なんかもうブルートフォース全般かな)をさせないためにサービス側が気を遣っているんですよ。あとは、ログイン画面でパスワードを何度も間違えて、アカウントがロックされた事(しばらくたってからログインしてください等)はありませんか?あれも、一定時間内に同じアカウントが複数回パスワードを間違えたときにアカウントをロックして、攻撃を受けないようにしているんですよ。

で、何が言いたいかって言うと(二回目)

大半の人がPCを持っていて、PCを使って検索、買い物をする時代です。

クレジットカードの情報をPCに入力するってことは、自分の口座をインターネット上に公開しているようなもんですし、サービス側は本気でそれを守ってくれます。

(守れない企業もいるけど)

 

で、不正アクセスされたからあのサービスはくそ!やめてやる!とかいうけど、それサービス関係ない場合が多数だからね。

idとpasswordを同じ文字列にするとか最低だし、文字種少ないものだめだし、短い人はだめ。

 

個人的には情報弱者のみなさんには、めっちゃ難しい文字列をpasswordにして(あるいはサービス側で決めたもの)、PCに付箋ではるのが一番いいと思う。

セキュリティ的には完璧アウトだけど、PCの付箋なら、見られるのは家族だけだし、上に挙げたようなくそみたいなパスワード設定するよりずっとましだと思う。

 

だから、この手の検索をした時に付箋にかいちゃだめ!とかよくあるけど、ユーザーの属性全く考えてないよね。

推測されやすいパスワードやめてって言っても通じなくてこんな被害にあってるわけなんだから、もうサービス側で固定するのも良いんじゃないかと思う。革命的だこれ

 

で、何が言いたいかって言うと(三回目)

ここ最近にはじまってことじゃないけど、ニュース見てもソース確認しない人の多いこと、多いこと。

マスコミはくそ!とか言う人よく居るけど(俺もそうだけど)、まとめサイトなんて個人が何の責任もなく掲載してるだけなのに、良くそんなの信じられるわ。逆にすごい。

 

引用元のリンク切れてるとかざらにあるじゃん。すごいよ。まじで。

え、確認してないの?なのになんで信じられるんだろ。

 

で、何が言いたいかって言うと(四回目)

多分、日本人の性格か分からないけど、何を言ってるかじゃなくて、誰が言ってるかを重視する傾向にあるのが、一番の問題なんじゃないかと思う。

あとはレッテル張り。

あとは何かを否定している(叩いている)意見の方が信頼性が増すって言う心理学的なあれ。

 

最近はRSSもかなり良いアプリが出て来て、より情報がいつでも誰でもアクセスできるようになったと思うけど、その情報が正しいのかどうか判断出来る、調べようとする人があまりに少ない。

 

情報の授業でプログラミングを必修にする前に、個人的には情報が正しいかどうかを判断する授業の方がよっぽど重要な気がする。

 

あと政治経済とはみんな興味なすぎてやべーよ。

政治経済に興味ないから投票率低いと思う俺。

 

将来そう言う事に貢献出来る事したいな。

仕事じゃなくて趣味レベルで良いけど。