前回の会社での話が気になったので、その後調べてみた。
〔前回まで〕
年末から、全国各地でGmailアカウントの乗っ取り被害が続出している。
会社の情報部門から相談を受けたが、相変わらず石頭達がつまらない議論をしているようだ。
さてさてこの事件、実はとんでもない重大な問題がある。
Gmailアカウントなんか使ってないよって人でも、アンドロイドスマホを持っている人は絶対にGoogleアカウント(=Gmailアカウント)を持っている。
そして、ほとんどがGoogleアカウントか、もしくは携帯会社から料金の支払が可能となっているのだ。
会社のW君とも話したのだが、今回の事件ではIDとパスワードを盗む手口がよくわかっていないようだ。
GmailのIDは新規登録の画面で使われているIDはすぐわかる。
後はロボットでも使って、パスワードを探したのだろうか?
それとも、今流行のフィッシング(私の趣味の釣りではない^^;)の手口だろうか。
如何せん、当たれば交通事故のようなものだ、運が悪い。
しかし、今日調べてみたら、その手口はすさまじいものだった。
Googleドメイン向けの不正証明書、主要ブラウザメーカーが失効措置
「*.google.com」のドメイン向けに手違いで不正な証明書が発行されて攻撃が発生。Google、Microsoft、Mozillaは問題の証明書を失効させる措置を講じた。
(出典:ITメディア)
こりゃ誰にも防ぎようがない。
なんせ、証明書発行機関が、手違いで中間CA証明書を発行していたようなのである。
騙しの手口であるフィッシングなどと違い、正規に流れているインターネット通信に割り込んで、流れるデータからIDとパスワードを抜き出した可能性がある。
以前の、暗号化されていないメール等ではネット上をテキスト文字が流れており、ネット上のサーバーで中間割り込みができれば簡単に読めることは知られていた。
(同様のことがセキュリティのかかっていない無線LANで素人でも確認できる^^; ので、是非試していただきたい。たぶんビックリするはず)
今回はユーザーからのデータが暗号化されていても、正規の証明書が発行されているために、解読され、盗まれたものと思われる。
つまり、一般ユーザーがGoogleアカウント乗っ取りを防ぐ手立てはなかったということだ。
これに対し、ネット上ではGoogleのサインインを2段階認証とする対策が推奨されている。
『できるか、んなこと!』
スマホおっちゃんがそんなセキュリティかけたら「使えなくなった」との苦情殺到である。
【傾向と対策】
(わかる人にしかわからない、ケイコちゃんとダイサクくんってか
)
今回の事件"だけ"の対策として、不正証明書だけをスマホから削除しとこう。
時すでに遅しかもしれないが・・・
1 まず、スマホの「設定」を開く
2 「セキュリティ」⇒「信頼できる認証情報」を開く
3 今回の大ボケ認証会社TURKTRUST関連の認証をはずす
チェックボックスを押せば、ウインドウが開くので、一番下に削除ボタンがある。
これでスマホ対策はおしまい。
乗っ取られたアカウントはまだまだ多いかもしれないので、自分のアカウントのパスワードをとりあえず変更しておくなどして、自衛すること。
また、乗っ取りとか以前に、スマホ利用者にとって、Googleアカウントにログオンできなくなる事態は悲惨なので、アカウント復旧のために、Googleには別のメールアドレスか電話番号を登録しておくことをお勧めする。
(これが、利便性と交換にGoogleに個人情報を売り渡すことなのである)
PCのブラウザも次回の更新で解消されるだろう。
さて、今回はスパム目的だったからよかったものの、Googleアカウントの乗っ取りでは簡単にお金儲けができるのである。
私なら、しょうもないアプリをGooglePlayに有料登録し、乗っ取ったアカウントから購入させる。
自分の懐にはアプリの料金が転がり込むというワケである。
スマホは、アカウントを乗っ取られると、電話会社やアプリを通じて損害が発生する可能性があることを認識し、財布やクレジットカードと同様に注意を払うべきなのである。
〔前回まで〕
年末から、全国各地でGmailアカウントの乗っ取り被害が続出している。
会社の情報部門から相談を受けたが、相変わらず石頭達がつまらない議論をしているようだ。
さてさてこの事件、実はとんでもない重大な問題がある。
Gmailアカウントなんか使ってないよって人でも、アンドロイドスマホを持っている人は絶対にGoogleアカウント(=Gmailアカウント)を持っている。
そして、ほとんどがGoogleアカウントか、もしくは携帯会社から料金の支払が可能となっているのだ。
会社のW君とも話したのだが、今回の事件ではIDとパスワードを盗む手口がよくわかっていないようだ。
GmailのIDは新規登録の画面で使われているIDはすぐわかる。
後はロボットでも使って、パスワードを探したのだろうか?
それとも、今流行のフィッシング(私の趣味の釣りではない^^;)の手口だろうか。
如何せん、当たれば交通事故のようなものだ、運が悪い。
しかし、今日調べてみたら、その手口はすさまじいものだった。Googleドメイン向けの不正証明書、主要ブラウザメーカーが失効措置
「*.google.com」のドメイン向けに手違いで不正な証明書が発行されて攻撃が発生。Google、Microsoft、Mozillaは問題の証明書を失効させる措置を講じた。
(出典:ITメディア)
こりゃ誰にも防ぎようがない。なんせ、証明書発行機関が、手違いで中間CA証明書を発行していたようなのである。
騙しの手口であるフィッシングなどと違い、正規に流れているインターネット通信に割り込んで、流れるデータからIDとパスワードを抜き出した可能性がある。
以前の、暗号化されていないメール等ではネット上をテキスト文字が流れており、ネット上のサーバーで中間割り込みができれば簡単に読めることは知られていた。
(同様のことがセキュリティのかかっていない無線LANで素人でも確認できる^^; ので、是非試していただきたい。たぶんビックリするはず)
今回はユーザーからのデータが暗号化されていても、正規の証明書が発行されているために、解読され、盗まれたものと思われる。
つまり、一般ユーザーがGoogleアカウント乗っ取りを防ぐ手立てはなかったということだ。
これに対し、ネット上ではGoogleのサインインを2段階認証とする対策が推奨されている。
『できるか、んなこと!』スマホおっちゃんがそんなセキュリティかけたら「使えなくなった」との苦情殺到である。
【傾向と対策】(わかる人にしかわからない、ケイコちゃんとダイサクくんってか
)今回の事件"だけ"の対策として、不正証明書だけをスマホから削除しとこう。
時すでに遅しかもしれないが・・・
1 まず、スマホの「設定」を開く
2 「セキュリティ」⇒「信頼できる認証情報」を開く
3 今回の大ボケ認証会社TURKTRUST関連の認証をはずす
チェックボックスを押せば、ウインドウが開くので、一番下に削除ボタンがある。
これでスマホ対策はおしまい。乗っ取られたアカウントはまだまだ多いかもしれないので、自分のアカウントのパスワードをとりあえず変更しておくなどして、自衛すること。
また、乗っ取りとか以前に、スマホ利用者にとって、Googleアカウントにログオンできなくなる事態は悲惨なので、アカウント復旧のために、Googleには別のメールアドレスか電話番号を登録しておくことをお勧めする。
(これが、利便性と交換にGoogleに個人情報を売り渡すことなのである)
PCのブラウザも次回の更新で解消されるだろう。
さて、今回はスパム目的だったからよかったものの、Googleアカウントの乗っ取りでは簡単にお金儲けができるのである。
私なら、しょうもないアプリをGooglePlayに有料登録し、乗っ取ったアカウントから購入させる。
自分の懐にはアプリの料金が転がり込むというワケである。
スマホは、アカウントを乗っ取られると、電話会社やアプリを通じて損害が発生する可能性があることを認識し、財布やクレジットカードと同様に注意を払うべきなのである。