orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

「中央省庁2000人余のメールアドレス流出 ネット上で売買」に関して思うこと

f:id:orangeitems:20180403191520j:plain

 

メールアドレスとパスワード流出

最近セキュリティー関連のニュースが多いですね。

www3.nhk.or.jp

サイバー攻撃の新たな危険が明らかになりました。中央省庁の職員延べ2000人余りのメールアドレスが、外部に登録したパスワードとともに流出してインターネット上で売買されていることがわかり、「内閣サイバーセキュリティセンター」はすべての省庁に対して緊急の注意喚起を行いました。

 

この場合の脅威とは何か

先日の九州商船の対応はとてもしっかりしているのですが、実はデータが流出しても気がつかないケースも多数存在していると思います。ちゃんと監視をしないと不正アクセスがあったかわかりませんし、気がつかないように漏洩させるのも攻撃者のテクニックです。また、運営者が流出の事実を隠蔽するケースも皆無ではないと思います。

何らかのWEBサービスにIDとパスワードを登録する機会は非常に多いと思うのですが、基本的に流出すると思っておいた方が自然です。単に発覚したものだけ最新のものを列挙して見ます

 

①これは昨日(2018/4/2)のニュース。1億5000万人。

www.gizmodo.jp

 

②これは2018/4/1のニュース。300万人。

forbesjapan.com

 

③これは有名な件。5000万人。

www.jiji.com

 

④これは2018/3/20のニュース。130万人。

news.mynavi.jp

 

キリがないのでやめますが、全部ここ1ヶ月で起こった話です。サイト運営企業が有名だろうが無名だろうが、起こるものは起こるのです。しかも億人とかいうとんでもない量のデータです。これが1ヶ月ということは1年に引き直したらもっともっと。

発表するだけマシで、発表されていないものもあるともはやたくさんのメールアドレスとパスワードの組み合わせが、闇に流通していると言わざるを得ません。

 

まず考えられるのはリスト攻撃

もし、大量のIDとパスワードが手元にあるとしたら、まず試すのはこれらをリスト化して、特定のWEBサイトにログインできるかできないかを試す攻撃です。「リスト攻撃」と呼びます。メールアドレスとパスワード、いろいろなWEBサイトで使いまわしていますか?。使いまわしているとしたら、一つのWEBサイトでも流出したら他はログインできてしまいますね。32文字の複雑な文字と記号と数字の組み合わせ・・でもアウトですね。

本当なら、サイトごとに、パスワードは変えるべきですがなかなか面倒だとは思います。パスワード認証の限界を感じます。

解説記事を紹介しておきます。

www.shadan-kun.com

 

次に標的型攻撃

送信者をなりすまして、メールを送りつけるという例のヤツです。

ご存知ない方は下記を読みましょう。

www.atmarkit.co.jp

流出したID群のうち、官公庁のドメインでフィルターして、そこに「ぽい」メールを送る。日本年金機構の例は有名ですね。

 

官公庁で取れる対策は?

最近は、メールを受け取るLANと、本番システムにアクセスするLANを物理的に分けることで対策しているとは聞きましたが、現実問題そこまでセキュアに運用しているところばかりではないのでは?とも思います。

そもそもメールを受け取ったパソコンにローカルに保管している書類などもあると思いますし標的型攻撃を食らったらそれらが流出する可能性もあります。またファイルサーバーにもアクセスできるでしょうし、リスクは依然として大きいと思います。

「会員制のサイトなどにユーザー登録する際はクレジットカードの情報などを必要以上に入力せず、パスワードも複雑にしたり定期的に変えたりするなどの注意が必要だ」

と記事には結んでありますが少しぼやけた話だと思っています。標的型攻撃にクレジットカードやパスワードは関係ありません。

 

対策を考えて見たのですが、おそらくこんなことを言っている人は誰もいませんのであしからず。

メールアドレスを年に1度変える

というのはいかがでしょうか。これは個人ではなく官公庁の話です。メールアドレスを変えればリスト攻撃も標的型攻撃も無効にできます。そのアドレスが存在しなくなりますから。

個人でこれを対応するのは大変だと思うのですが、官公庁は仕事ですので、年に1度洗い替えするべきだと思います。メールアドレス自体は名刺交換すれば書いてありますので、非常に脆弱な情報だと思っています。

もしくは、官公庁は外部のWEBサービスを一切使わないことですかね。それぐらいしか思いつきません。

これぐらい、外部のWEBサービスにIDを登録するということは、危険なことだということを知りつつ、気軽にIDを増やさないことが個人でできる最大のことなのかなあとも思います。