セキュリティって何だろう?
あいうえおあいうえおあいうえお 

Menu

メインページ
> 記事一覧
利用した著作物
サイトマップ
Security記事
1
S01 セキュリティとは?
2
S02 フィッシング詐欺-01
3
S03 フィッシング詐欺-02
4
S04 不正アクセスの手口
5
S05 アカウント-Security
6
S06 不正にログインされたら
7
S07 マルウェア -01
8
S08 マルウェア -02
9
S09 ランサムウェア
10
S10 セキュリティソフト
Androidのセキュリティ
S-01
今回はアカウントのセキュリティについて考えていきましょう。
前回まではフィッシングサイトについてが中心でした。
ですが、不正にログインされることはそれ以外にも様々な要因があります。


今回はそうならないために
もしフィッシングに引っかかっても簡単に不正アクセスされないセキュリティ
について考えていきましょう。

ということで、彼を知り己を知れば百戦殆うからず
といったように、相手を知ることから始めていきましょう。

このサイトの目的は、安全なセキュリティの実現です。
当然ですがここで記載している内容は悪用してはいけません。

あくまで、そういった手法があり、それに対する対策を考えようということです。
まずは不正アクセスについてみていきましょう。
不正アクセスとは
不正アクセスとは、相手の同意を取らずに
勝手に他人のアカウントなどにログインするといったものです。

相手の許可がないのに勝手にログインする時点で不正アクセスに該当します。

身近な事例としては友人のスマホのパスワードを勝手に調べて
ちょっとスマホにログインし、友人のスマホの情報をちょっと盗み見る
そういったものも実は不正アクセスとなります。

法律上違法なので、やらないに越したことはありません。

このように実は身近なことでも案外不正アクセスがあります。
さて、こんな感じの友人のいたずらの場合は、自分のパスワードのヒントをつい話したり
あとは自分が入力しているときを覗き見られたり、
あるいはちょっとぽろっと話してるときにこぼしてしまうとか。

このような
人間の不注意などの心理的な弱点を突いて(情報技術を使わずに)パスワードなどを盗む方法
をソーシャルエンジニアリングと呼んだりします。
特に現実で遭遇するものはそういったものが多いです。

なお、当然ですが普通に電話越しとかでもあり得ます。
気を付けるというのは難しいですが、
そういった小さな心のミスや相手に審理を操られてついつい話してしまうとか
そのような攻撃があることもちゃんと知っておきましょう。

おそらく、ネット上での攻撃などもそうですが実際の攻撃の中でもよくつかわれています。
ですので、セキュリティはサイバー空間だけではないと考えて行きましょう。

ただ、今回はパスワードに対する攻撃についてこれから見ていきます。
パスワードに対する攻撃。
続いてはパスワードに関しての攻撃です。
イメージとしてはアカウントのパスワードを特定するイメージですね。
実際にはサービスのアカウントのほかに、
自分がパスワードを設定したファイルなんかにもありますね。

まずは辞書型攻撃
この攻撃は、既存の文字などからパスワードを推測する攻撃方法です。
例えば誕生日や単語とかから推測するといったようなものです。
個人的には、この攻撃はより自分に近い人が行う感じでしょう。

次に総当たり攻撃

この攻撃は、
一つのアカウントやパスワードが設定されたものに対して多種多様なパスワードを入力し、
不正にログインする手法です。

総当たり攻撃と称されるように、多種多様な文字、数字、記号の組み合わせを使って
不正にログインを試みます。
片っ端から試させるので、
ずっと行われればやがてパスワードが合致して相手にアクセスされてしまいます。 こう聞くと防ぎようがないじゃん!ってなりますが、
最近ではこれらのパスワードを何度も入力し間違えるとアカウントがロックされるといった
機能がありブロックしてくれることが多いです。
この機能の例を挙げるのであれば、iPhoneでパスワード入力ミスを連続でしたら、
数秒後にお試しくださいとなるようなものです。


ただ、暗号化したzipファイルなんかでは、悲しいかな
ローカル環境にある場合に、即ち相手がファイルを持っているうちは延々と総当たりで試行することが可能なため
ブロックがされないのでやがて解読されてしまいます。

この総当たり攻撃に対するキーとなるのは
パスワードの長さでしょうか。 パスワードの長さが長ければ長いほど
想定されるパスワードの種類(通り)が増え続けるため
この総当たり攻撃で特定される時間が大幅に伸びます。
当然ながら複雑にしてもいいのですが、結局桁数を伸ばすことが特定時間を遅くすることができます。

ですので、桁数を増やすことがおすすめです。
総当たり攻撃のイメージ


逆総当たり攻撃

この攻撃は、複数のアカウントによく使われるパスワードを入力し
不正にログインを試みる手法となります。
総当たり攻撃と違うのは変えるのは試行対象であるアカウント側なので、
同じアカウントに何度も入力することはありません。
そのためにアカウントロックなどの、何度も間違えて入力したらブロックされる的な機能はありません。
この逆総当たりは、よく使われるパスワードを一気に試す形となります。

これを聞いていると、よく使われる password
みたいなパスワードは危ないかもしれませんね。
逆総当たり攻撃のイメージ


リスト攻撃

フィッシング詐欺などや外部システムから流出した情報を元にログインする方法です。
外部のサービスからアカウントとパスワードのリストをそれぞれ盗みます。
あとはフィッシングサイトから盗み取るとか これに関してはパスワードを改善したとて..
とにかく情報流出といったものでしょうか。
対処法:対策としてはそれぞれのサイトで
まったく別のパスワードを導入するといったことが挙げられます。


でも現実的じゃないですよね..。
..といったような形でパスワードを突破してきます。
実際にはもっと多種多様な方法で行われますし、
不正アクセスの定義自体見ればから、方法はかなり種類の多いものとなっています。

ただ、一般的なセキュリティとしましては、これらの攻撃などを知ることが大事なのではないでしょうか。
ただし、実際にシステムなどに行われる攻撃については、まったく別のものになっています。
ちょっと短くなりましたが今回は以上です。

ここまでのご閲覧ありがとうございました!
前の記事 Before article
Sec-0
スタート!