個人情報流出は当たり前の時代に 某サービスから来た情報漏洩のお知らせ!

ネットの安全

インターネットで最近、多発している個人情報流出、実は他人事と考えていましたが、最近、某サービスから「情報漏洩のお知らせ」がきました。


もう、個人情報流出は当たり前の時代になったことを痛感した事件です。今回は、個人情報流出が当たり前の時代に、どうすれば良いのか考えてみました。


最近、不正アクセスで利用される攻撃は「パスワードリスト攻撃」で、Webサイトから漏洩した情報を使って、別のWebサイトに不正ログインしようとする攻撃です。


どんなに複雑なパスワードでも、同じパスワードを使い回していると、情報流出したWebサイトの情報を使い、他のWebサイトが不正ログインされてしまうので注意が必要です。


-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

今回、私の所にきた、情報漏洩(流出)が発生したサービスは、某「予約サービス」で、流出した可能性のある情報は以下でした。

 流出の可能性のある情報:
   1.氏名/住所/電話番号/生年月日/性別/メールアドレス
   2.インターネット予約でお使いの会員ID
   3.インターネット予約でお使いのパスワード

 連絡のあった対応策:
 「会員パスワードと同様のパスワードを他サービスでもご利用のお客さまは、
  他サービスのパスワードを変更していただきますようお願い致します。」

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+


個人情報流出が当たり前の時代、基本的な対応として、以下が考えられます。


①情報漏洩(流出)が発生したサービスと同じパスワードを使っていたら、すぐに変更する。

②パスワードを複雑にするのに加え、パスワードを使い回ししない。

③特に、クレジットカード情報などの重要な個人情報を扱うサービス、ネットシッピングやインターネットバンキングなどのパスワードは、そこだけのパスワードにして、他では使用しない。

④更に、パスワードに加えてセキュリティコードの入力が必要な「2段階認証」というのがありますが、これを利用することで、「パスワードリスト攻撃」も防ぐことができ、安全になります。


-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+


なお、インターネットサービスを利用する際には、以下に気をつけたいです。


①クレジットカードの利用状況を定期的に確認する(最低限、毎月1回)。もし、不正な利用があれば、クレジット会社に連絡する。

②クレジットカードは安心できるサービスのみ活用する。できれば、2段階認証を使っているサービスのみにする。

③個人情報は最低限しか登録しない。携帯番号などの大事な情報は、可能であれば登録しない。

④連絡用のメールアドレスには、Webメールのエイリアス(別名)を活用する。*あとで詳しく説明します。


-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+


個々の対策の詳しい内容は以下を参照ください。


 Amazonの2段階認証でアカウントの不正利用を防ごう!
 https://lifesecurityup.blogspot.jp/2017/06/amazon2.html

 Yahoo! Japanの2段階認証(ワンタイムパスワード)で不正利用を防ごう!
 https://lifesecurityup.blogspot.jp/2017/05/yahoo-japanid.html

 Webメールで複数メールアドレス活用 エイリアス(別名)とは
 https://lifesecurityup.blogspot.jp/2016/02/web.html


■■□―――――――――――――――――――□■■

最近、多発している「パスワードリスト攻撃」とは

■■□―――――――――――――――――――□■■


Webサイトから漏洩した情報を使って、別のWebサイトに不正ログインしようとする攻撃です。

どんなに複雑なパスワードを設定しても、パスワードを使い回していると、他のWebサイトが不正ログインされてしまいます。

パスワードリスト攻撃の例として、サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたパスワードを使い(IDを変化させながら)、他のサイトB、サイトCに不正アクセスを試みます。

  サイトA・・・ログイン ID=abc パスワード=xyz12345

  サイトB・・・ログイン ID=abc パスワード=xyz12345
    *サイトAとID・パスワードが同じ

  サイトC・・・ログイン ID=abc パスワード=xyz12345
    *サイトAとID・パスワードが同じ

なお、ログインの際に、パスワードに加えてセキュリティコードの入力が必要な「2段階認証」というのがありますが、これを利用することで、「パスワードリスト攻撃」も防ぐことができ、安全になります。