9月6日(土)に開催された、第19回北海道セキュリティ勉強会(せきゅぽろ)に参加しました。
今回の講師は辻 伸弘(@ntsuji)さん。
最近のセキュリティについて、私たちが気をつけなければ行けないこと、自分たちにできることを分かりやすく、面白くお話ししてくださいました。
あと、辻さんはperfume好き、おぼえた。
不正ログインの再考
パスワード突破手法
- 「ID固定型」(あるidに対して色々なPWを入力して突破を試みる)
- 「パスワード固定型」(良くありそうなPWに対して、色々なidで試してログインする)
これらに加え、最近は「リスト型」(あらかじめ入手したID-PWの組み合わせを他サービスで試す)が流行している。
リスト型の攻撃が多発している背景としては、Webサービスが広く普及し、1人あたりが扱うID-PWの数が増加したことがあげられる。
実際の被害としては、プリペイドカードを使った金銭の不正取得など、モニタの前だけで完結する犯行が増えている。
(黒幕は乗っ取り等を自らは実行せずリスト本体の売買で儲けているとのこと。”詐欺師が詐欺師を引っ掛けるマーケットの裏話”面白かったです。)
私たちが今すぐできることとしては、「推測しやすそうなパスワードを使わない、長く複雑なパスワード」という従来の対策に加え、「IDとパスワードを複数サービスで使い回さない」ことが重要となる。(パスワードの定期変更は現実的に難しく、手間の割に効果が薄い)
現実はまだまだで、辻さんが示してくれたアンケートによると「サービス共通でID-PWを使い回す」「PW管理は面倒くさい」という回答が多数。
「面倒くさい→他サービスとID-PWを使い回そう→PWは覚えやすいのにしよう」という思考は”攻撃者へのうまみ”になるので断ち切りたいですね。
私は昨年から1Passwordを購入し使っているのですが、とても便利です。パスワードに対する概念が変わりました。
それまでは、同じようなパスワード(ベースパスワード + サービス毎に独自ルールで付加する数文字)の運用だったのですが、完全にランダムで長いパスワードを使うことができるようになりました。
ただ、自分の頭にパスワードを記憶していないので、手元に自分のマシンがないと何もできません。
不正ログインの過去と現在
不正ログインの様子が昔とは変わってきている。
- 昔は特定の小数のIP空のアクセス
→ 複数のIPアドレスからアクセス(特定IPアドレスのブロックでは防げない) - 国外からのアクセス
→ 国内からのアクセスも普通にある(海外のIPをブロックというわけにはいかなくなった) - 今ほど被害額は大きくなかった
→ 実質的被害・二次被害が増加(乗っ取りによる犯罪)
最近話題となったLINE乗っ取りについても、都内で100件 650万円(被害届ベース)とかなりの額。
不正にアクセスして本人に成り済まして買い物をしたりするよりも、いわゆる乗っ取りの方が人の信用を使えるのでお金を取りやすい。
コンビニの店員が、iTunesカードを購入しようとしたお客さんに「最近こういうのはやっているみたいですよ」と声をかけたことで防げたという事例があるように、草の根活動はとても大事になる。
辻さんも、「被害はどんどん身近になり、専門家だけの情報発信は限界。ちょっとした事でいいのでアウトプットをしていってほしい」とお話しされていました。
フィッシング詐欺
辻さんは、「フィッシング詐欺にひっかかること」が趣味のひとつ、なそうです。
メール訓練、意味がない
フィッシング詐欺の経路として、切っても切れないものがメール(添付ファイル・リンクを踏む)です。
しかし、だからといって、怪しいメールを送り開かないようにする訓練は意味がない、と話されていました。
というのも、実際のクリックテストで、クリックしなかった人の理由が
- 普段からその手のメールは開かない
- 興味を引かなかった
- メーラーがスパム判定していた
というものであり、「怪しいと思ったから開かなかった」のではなく、あやふや、運任せの要素が大きかったという調査結果があるからです。
じゃあ、何もしなくていいかというと、そうではなく、開いた時にどうするのかの訓練が大切。
「防火訓練ではなく、火災訓練を」(とても分かりやすい例えだ)
フィッシングサイトは、簡単に作れる
現在、様々なツールがあり、誰でも割と簡単に偽サイトを作ることができるそうです。
また、フィッシングサイトへの誘導方法も多岐に渡っており、巧妙になってきています。
引っかからないようにするためには、かなりの注意力が必要。
(辻さんが「フィッシング詐欺にひっかかること」を趣味にしているのも、通常を知る事で異常に気がつくため、どの辺りが引っかかるポイントになるかを見極めるため、なのでした。)
人間の注意力には限界があるので、誤って踏んだ時に被害が最小限になるよう、踏んでしまったときの対策を考えておく事も大事です。
匿名化・暗号化
最近、犯罪絡み(パソコン遠隔操作事件など)で良く聞くためか、匿名・暗号に悪いイメージを持ちがちだが、もともと匿名化・暗号化は犯罪者の技術ではないという点を強調されていました。
包丁や車と同じで、怪我をしないよう・させないように使えばとても便利なものです。
自分の情報を上手くコントロールする(自衛)、強い味方になります。
その際、
- 隠したいものは何か
- 誰にどこまで知られてよいか
を考え、それらを実現する仕組みと技術を知る事が大切との事です。
参考ツールとして、端末を暗号化するもの・通信を暗号化するもの・会話内容を暗号化するものを教えていただきました。
インターネットが発展している時代「通信は見ようと思えば見られるもの」という意識でいたほうが良さそうです。
そのうえで、上記のような匿名・暗号化ツールを「特別なものとしてではなく当たり前の手段として」使えるようになるとよいですね。
正直、自分のこれらのツールは何となく怖くて使っていませんでした。
でも、今回紹介していただいたものは、少なくとも大丈夫なものだと認識できたので、状況に合わせて使っていきたいです。
(公共のWifiを使うときなどに思い出したい)
まとめ
「現代、攻撃はどんどん巧妙に、そして、私たちの身近になってきており、守る側は相当不利。」
「相当頑張らないと、負けます。」
「しかし、短所は長所に昇華できる方法があるはず。」
「困っている人を助けるというちょっとしたことが広がるだけで世界は変わって行く」
辻さんの話を札幌で聞けてよかったです。
私にできるちょっとしたこと、として(だいぶ時間がたってしまったけど)このブログを書きました。
おまけ:はじめてのLT
辻さんの講演の後のLTタイムで生まれて初めてLTをしたよ(告知だけど)。
今回は、制限時間のないLTだったけれど、今度は決まった時間でしっかり話す練習をして制限時間ありのLTに臨んでみたいです。