映像で知る情報セキュリティ 陽だまり家族とパスワード ~自分を守る3つのポイント~ 2018/8/9 映像で知る情報セキュリティ 陽だまり家族とパスワード ~自分を守る3つのポイント~
目次 1.はじめに 2.不正アクセスの被害と手口 3.対策:パスワード管理のポイント 4.まとめ
1. はじめに 元気な家族がいつもと様子が違う。みんなインターネットで被害にあったみたい。その原因は・・・ インターネットで被害にあってるの。助けて。 了解。でも原因は皆さん自身にあるのですよ。 解説ロボット 主人公 (はるな) 元気な家族がいつもと様子が違う。みんなインターネットで被害にあったみたい。その原因は・・・
映像をご覧ください
不正送金 なりすまし 2. 不正アクセスの被害 2018/8/9 インターネットバンキングの不正送金被害やSNSのなりすましログインなどの不正アクセスの被害報告が増えています。 なりすまし
2. 不正アクセスの手口① 短いパスワードを狙った総当たり攻撃 使用できる文字数と入力桁数によるパスワードの最大解読時間 2018/8/9 短いパスワードを狙った総当たり攻撃 使用できる文字数と入力桁数によるパスワードの最大解読時間 総当り攻撃とは、何らかの規則にしたがって、文字の組み合わせを総当りで試行する攻撃方法です。いわゆる力ずくの攻撃方法のことで、ブルートフォース攻撃ともいいます。語数を長くする、大文字小文字・数字・記号を混ぜることにより、総当り攻撃に対して強いパスワードとなります。なお、このデータは2008年のもので、現在はパソコンの性能も大幅に向上しているため解読までに時間は短くなっていると考えられます。 ※すべての組み合わせを試すために必要な時間を計算。記号は31文字使用できるものとした。使用パソコンOS:Windows Vista Business 32bit版、プロセッサ:Intel Core 2 Duo T7200 2.00GHz、メモリ:3GB (2008年、IPA調べ: https://www.ipa.go.jp/security/txt/2008/10outline.html)
2. 不正アクセスの手口② 単純なパスワードを狙った類推・辞書攻撃 最悪なパスワードランキング 順位 パスワード 1位 123456 2位 2018/8/9 単純なパスワードを狙った類推・辞書攻撃 最悪なパスワードランキング 順位 パスワード 1位 123456 2位 password 3位 12345 4位 12345678 5位 qwerty 6位 123456789 7位 1234 8位 baseball 9位 dragon 10位 football 辞書攻撃とは、辞書にある単語などを片端から試行する攻撃方法です。もし、パスワードの文字列に辞書にあるような単語や、人名、商標名といったものを使用している場合、辞書攻撃によってパスワードを解析される可能性が高くなります。一般的な英和辞典が約5万語ですが、辞書攻撃に使われるワードリストは80万語とも100万語とも言われています。パスワード解析に使用される辞書には、英和辞典などに掲載されている単語だけでなく、人名、地名といったものや、よく使われるユーザ名などが登録されています。さらに、規則性を持たせた文字列も登録されています。たとえば"12345" や"abcde"といったものです。これを順に試していくわけです。 (2014年、米SplashData社調べ)
! 2. 不正アクセスの手口③ パスワードリスト攻撃 インターネットサービスの利用者の多くが複数サイトで同一のIDとパスワードを使い回している状況に目をつけ、不正取得したIDとパスワードのリストを流用し、連続自動入力プログラムなどを用いてIDとパスワードを入力しウェブサイトへのログインを試行する手口です。 各社のサービスにおいてIDとパスワードをすべて同じにしている場合、その中のいずれかのサービス企業でアカウント情報が漏えいしてしまうと、図中【2】のように悪意ある者が他社のサービスで同じIDとパスワードを用いて、利用者Xになりすましてログインすることができます。これで、パスワードリスト攻撃が成功したことになります。その後、悪意ある者はログイン可能なIDとパスワードを悪用して不正アクセスし、最終的には金銭に結びつくような二次的被害を引き起こします。 ここで注意すべき点は、パスワードリスト攻撃においては、その元となるIDとパスワードは、個人のパソコンからではなくインターネットサービスのサーバーから盗み取られる、ということです。つまり、利用者側で強固なパスワードを設定し、かつパソコン上でセキュリティソフトを利用していても、同一のパスワードを使い回している限り、パスワードリスト攻撃の被害を防ぐことはできません。 ! 利用者側で強固なパスワードを設定し、かつパソコン上でセキュリティソフトを利用していても、同一のパスワードを使い回している限り、パスワードリスト攻撃の被害を防ぐことはできません
パスワード管理のために気をつけるべき点とは? 2. 不正アクセスの被害と手口 どうしよう!? こんなことに なるなんて… パスワード管理のために気をつけるべき点とは?
3. 対策
! i 3. 複数のパスワード管理方法①紙のメモ 金銭に絡む重要なものについては、IDとパスワードを切り離して保持することを推奨します IDとパスワードを記載したリストを紙のメモに保持します。IDとパスワードを別々の紙に分けて管理するとより安全です。紙にメモする場合、ネットワーク経由で窃取される危険はありませんが、紙そのものの紛失・盗難の恐れがあります。そのため、第三者が見てもわからないように記載する必要があります。 ID サービス名 1 aaaaa ○×銀行 2 bbbbb △○銀行 3 cccccc ▼○証券 4 ddddd △×オンラインショップ パスワード 1 Hkls4aklfa5s 2 dsfEQ24dtdw 3 dd2cyhcx21Df 4 SQA131qedq 片方を盗み取られても、それだけでは不正ログインに悪用することができないため安全です
i 3.複数のパスワード管理方法②電子ファイル 電子ファイル 表計算ソフト テキスト編集ソフト IDとパスワードを記載したリストを「パスワード付きの電子ファイル」として保持します。電子ファイルには、表計算ソフトやテキスト編集ソフトを使います。その電子ファイルにパスワードを設定して保存します。パスワードは表計算ソフトの機能でファイルそのものにかける方法と、zipなどの圧縮ファイルにかける方法とがあります。なお、テキスト編集ソフトの場合はファイルにパスワードはかかりませんので、圧縮ファイルでパスワードを設定します。 テキスト編集ソフトの場合はファイルにパスワードはかかりません。圧縮ファイルでパスワードを設定しましょう。
3. 複数のパスワード管理方法③管理ツール i パスワード管理のための信頼のおける専用ツール(ソフトウェア)を使用し、IDとパスワードを保存します。ツールに、“利用しているサービスの ID・パスワード”と“ツールを起動するためのマスターパスワード”を登録しておきます。そのマスターパスワードだけを覚えておけば、ツールを起動して各サービスのIDとパスワードを呼び出すことができます。また最近ではインターネットサービスの認証まで自動で行うツールもあります。こうしたツールを使うことにより利用者はマスタのパスワードのみを管理すれば良くなり、複数のパスワードを記憶する必要がありません。 マスターパスワードだけを覚えておけば、ツールを起動して各サービスのIDとパスワードを呼び出すことができて便利です インターネットサービスの認証まで自動で行うツールも存在します
3. 不正ログインの被害にあった場合 被害拡大を防ぐために、パスワードをすぐに変更 サービス会社のサポート窓口に連絡し、実被害が生じた場合の補償や今後の対応について相談 クレジットカードが紐付いている場合は、クレジットカード会社の窓口にも連絡しましょう 不正ログインの被害に遭ったことが判明した場合、可能であれば、さらなる被害を防ぐために、パスワードをすぐに変更してください。その上で、サービス会社のサポート窓口に連絡し、実被害が生じた場合の補償や今後の対応について説明を受けてください。 また、不正ログインされたIDの決済情報としてクレジットカードが紐付いている場合は不正利用される恐れがあるため、クレジットカード会社の窓口にも連絡してください。万が一、クレジットカードが不正利用されても補償される可能性が高いですが、速やかにクレジットカード会社に連絡を取り、対処方法について相談することを勧めます。
4. まとめ パスワード設定の基本 1.長く 2.複雑に 3.使い回さない パスワードは 紙、電子ファイル、管理ソフトなどを活用し管理 パスワード設定の基本 1.長く 2.複雑に 3.使い回さない パスワードは 紙、電子ファイル、管理ソフトなどを活用し管理 不正ログインの被害にあった場合は すぐにパスワードを変更しサービス窓口に相談 ID・パスワードを しっかり管理して、 インターネットを安全に利用しましょう!
映像で知る情報セキュリティ(DVD-ROM) 2018/8/9 映像で知る情報セキュリティ(DVD-ROM) 「映像で知る情報セキュリティDVD-ROM」はIPAセキュリティセンターが作成した情報セキュリティに関する様々な脅威と対策をドラマや図表を用いて分かりやすく解説した映像コンテンツ13本を収納したDVD-ROMです。本映像作品も収録されています。 また、YouTube内の「IPA Channel」を通じても公開しています。 http://www.ipa.go.jp/security/keihatsu/videos/
ここからセキュリティ! 2018/8/9 ここからセキュリティは、公的機関・民間団体・企業のセキュリティ情報を集めた情報セキュリティポータルサイトです。 探しているセキュリティ情報がすぐに見つかる!「対策」も「教育」も「診断」も全部ここから始めよう!
情報セキュリティ安心相談窓口 2018/8/9 電 話 03-5978-7509 (オペレータ対応は、平日の10:00~12:00 および 13:30~17:00) E-mail anshin@ipa.go.jp ※このメールアドレスに特定電子メールを送信しないでください。 FAX 03-5978-7518 郵 送 〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコート センターオフィス16階 IPAセキュリティセンター 安心相談窓口 「情報セキュリティ安心相談窓口」は、IPA(独立行政法人 情報処理推進機構)が国民に向けて開設している、マルウェアおよび不正アクセスに関する総合的な相談窓口です。 ※技術的なアドバイスをしますが、相談者のパソコンや情報を調査したり、パソコンを修理したり、犯人を捕まえたりすることは行っていません。
「iパス」は、ITを利活用するすべての社会人・学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です。 2018/8/9 「iパス」は、ITを利活用するすべての社会人・学生が備えておくべきITに関する基礎的な知識が証明できる国家試験です。 ITパスポート公式キャラクター 上峰亜衣(うえみねあい) 【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html 「iパス」は、ITを利活用するすべての社会人・学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です。
技術本部セキュリティセンター 独立行政法人 情報処理推進機構 〒113-6591 東京都文京区本駒込2-28-8 2018/8/9 独立行政法人 情報処理推進機構 技術本部セキュリティセンター 〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス15階 TEL03(5978)7508 FAX03(5978)7546 普及啓発資料等のお問い合わせ 電子メール isec-info@ipa.go.jp URL http://www.ipa.go.jp/security/