個人情報流出は当たり前の時代に 某サービスから来た情報漏洩のお知らせ!
インターネットで最近、多発している個人情報流出、実は他人事と考えていましたが、最近、某サービスから「情報漏洩のお知らせ」がきました。
もう、個人情報流出は当たり前の時代になったことを痛感した事件です。今回は、個人情報流出が当たり前の時代に、どうすれば良いのか考えてみました。
最近、不正アクセスで利用される攻撃は「パスワードリスト攻撃」で、Webサイトから漏洩した情報を使って、別のWebサイトに不正ログインしようとする攻撃です。
どんなに複雑なパスワードでも、同じパスワードを使い回していると、情報流出したWebサイトの情報を使い、他のWebサイトが不正ログインされてしまうので注意が必要です。
-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
今回、私の所にきた、情報漏洩(流出)が発生したサービスは、某「予約サービス」で、流出した可能性のある情報は以下でした。
流出の可能性のある情報:
1.氏名/住所/電話番号/生年月日/性別/メールアドレス
2.インターネット予約でお使いの会員ID
3.インターネット予約でお使いのパスワード
連絡のあった対応策:
「会員パスワードと同様のパスワードを他サービスでもご利用のお客さまは、
他サービスのパスワードを変更していただきますようお願い致します。」
-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
個人情報流出が当たり前の時代、基本的な対応として、以下が考えられます。
①情報漏洩(流出)が発生したサービスと同じパスワードを使っていたら、すぐに変更する。
②パスワードを複雑にするのに加え、パスワードを使い回ししない。
③特に、クレジットカード情報などの重要な個人情報を扱うサービス、ネットシッピングやインターネットバンキングなどのパスワードは、そこだけのパスワードにして、他では使用しない。
④更に、パスワードに加えてセキュリティコードの入力が必要な「2段階認証」というのがありますが、これを利用することで、「パスワードリスト攻撃」も防ぐことができ、安全になります。
-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
なお、インターネットサービスを利用する際には、以下に気をつけたいです。
①クレジットカードの利用状況を定期的に確認する(最低限、毎月1回)。もし、不正な利用があれば、クレジット会社に連絡する。
②クレジットカードは安心できるサービスのみ活用する。できれば、2段階認証を使っているサービスのみにする。
③個人情報は最低限しか登録しない。携帯番号などの大事な情報は、可能であれば登録しない。
④連絡用のメールアドレスには、Webメールのエイリアス(別名)を活用する。*あとで詳しく説明します。
-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
個々の対策の詳しい内容は以下を参照ください。
Amazonの2段階認証でアカウントの不正利用を防ごう!
https://lifesecurityup.blogspot.jp/2017/06/amazon2.html
Yahoo! Japanの2段階認証(ワンタイムパスワード)で不正利用を防ごう!
https://lifesecurityup.blogspot.jp/2017/05/yahoo-japanid.html
Webメールで複数メールアドレス活用 エイリアス(別名)とは
https://lifesecurityup.blogspot.jp/2016/02/web.html
■■□―――――――――――――――――――□■■
最近、多発している「パスワードリスト攻撃」とは
■■□―――――――――――――――――――□■■
Webサイトから漏洩した情報を使って、別のWebサイトに不正ログインしようとする攻撃です。
どんなに複雑なパスワードを設定しても、パスワードを使い回していると、他のWebサイトが不正ログインされてしまいます。
パスワードリスト攻撃の例として、サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたパスワードを使い(IDを変化させながら)、他のサイトB、サイトCに不正アクセスを試みます。
サイトA・・・ログイン ID=abc パスワード=xyz12345
サイトB・・・ログイン ID=abc パスワード=xyz12345
*サイトAとID・パスワードが同じ
サイトC・・・ログイン ID=abc パスワード=xyz12345
*サイトAとID・パスワードが同じ
なお、ログインの際に、パスワードに加えてセキュリティコードの入力が必要な「2段階認証」というのがありますが、これを利用することで、「パスワードリスト攻撃」も防ぐことができ、安全になります。