7月7日付の日本経済新聞に、「ネット侵入手口巧妙に」「企業への不正アクセス多発」「金銭目的が増加」などの見出しで、不正侵入事件に関する記事が掲載された。これは、インターネットを悪用して企業のサーバや個人のパソコンに保存された情報の売買を目的として不正に侵入する事例を紹介し、手口の高度化や企業の防衛策の遅れを指摘するものだ。
今回の侵入者は、痕跡を残さないどころか、短時間に大量のアクセスを集中させてシステムをバンザイさせ、侵入するという荒っぽい手口であったために、すぐに捕まってしまったようだが、先の米国のクレジットカード情報の管理委託先の事例のように、しばらく気づかなかったりすると、甚大な被害を蒙る場合もある。
この記事では、主な不正侵入の手口として
(1)不正操作型 不正な命令を入力し誤動作させるもの。SQL-injection。
(2)不正ソフト侵入型 スパイウェアを忍び込ませ、保存された情報やキー入力を送信させたりするもの。
(3)ネットワーク型 多数のパソコンをウィルスに感染させ、遠隔操作を可能とし、多数のコンピュータから詐欺・宣伝メール等を送信するもの。
の三つをあげている。
実際は、ソーシャル・エンジニアリングといって、電話等で上司になりすまし、担当者を頭越しに怒鳴りつけてパスワードを聞き出し、管理者としてまんまと忍び込む者もいるとか。こうなると、パスワードは情報ネットワーク社会の生命線だという気がする。私は「パスワードを教えろ、というやつは悪人だ」という大原則で仕事をしているが、中には善意の人も少なくないだろう。
そこで、パスワードに頼らず、指紋や静脈や瞳孔のパターンなどを用い、生体認証を行うというアイデアが登場する。一見、これは良さそうに思える。だが、実は生体認証には本質的な欠点があることを忘れてはならないだろう。
というのは、不正に気づいたとき、パスワードなら変更可能だが、生体認証なら変更が不可能だ、という点である。実際、米国では軍の機密をめぐって指紋認証を突破するため指を切り取られる事件が起こっているし、先日は静脈を用いた認証を大根を用いて破る可能性が示唆された。指紋認証がいったん破られてしまえば、自分で自分の指紋を変更することはできない。かなり困った事態になることだろう。
こうしてみると、いくらでも長くすることができるパスワードが、最も有効なセキュリティ確保の手段と言える。
私の場合、パスワードの作り方として周囲の人にすすめているのは、辞書にない言葉に記号と数字を組み合わせると言う方法で、具体的にはきわめてローカルな方言を種にしてこれから母音を取り去り、子音と記号と数字を組み合わせると言うものだ。少なくとも8文字以上、実用的には14~16文字程度あればかなり安全度が高いのではないかと考えているが、どんなものだろうか。
今回の侵入者は、痕跡を残さないどころか、短時間に大量のアクセスを集中させてシステムをバンザイさせ、侵入するという荒っぽい手口であったために、すぐに捕まってしまったようだが、先の米国のクレジットカード情報の管理委託先の事例のように、しばらく気づかなかったりすると、甚大な被害を蒙る場合もある。
この記事では、主な不正侵入の手口として
(1)不正操作型 不正な命令を入力し誤動作させるもの。SQL-injection。
(2)不正ソフト侵入型 スパイウェアを忍び込ませ、保存された情報やキー入力を送信させたりするもの。
(3)ネットワーク型 多数のパソコンをウィルスに感染させ、遠隔操作を可能とし、多数のコンピュータから詐欺・宣伝メール等を送信するもの。
の三つをあげている。
実際は、ソーシャル・エンジニアリングといって、電話等で上司になりすまし、担当者を頭越しに怒鳴りつけてパスワードを聞き出し、管理者としてまんまと忍び込む者もいるとか。こうなると、パスワードは情報ネットワーク社会の生命線だという気がする。私は「パスワードを教えろ、というやつは悪人だ」という大原則で仕事をしているが、中には善意の人も少なくないだろう。
そこで、パスワードに頼らず、指紋や静脈や瞳孔のパターンなどを用い、生体認証を行うというアイデアが登場する。一見、これは良さそうに思える。だが、実は生体認証には本質的な欠点があることを忘れてはならないだろう。
というのは、不正に気づいたとき、パスワードなら変更可能だが、生体認証なら変更が不可能だ、という点である。実際、米国では軍の機密をめぐって指紋認証を突破するため指を切り取られる事件が起こっているし、先日は静脈を用いた認証を大根を用いて破る可能性が示唆された。指紋認証がいったん破られてしまえば、自分で自分の指紋を変更することはできない。かなり困った事態になることだろう。
こうしてみると、いくらでも長くすることができるパスワードが、最も有効なセキュリティ確保の手段と言える。
私の場合、パスワードの作り方として周囲の人にすすめているのは、辞書にない言葉に記号と数字を組み合わせると言う方法で、具体的にはきわめてローカルな方言を種にしてこれから母音を取り去り、子音と記号と数字を組み合わせると言うものだ。少なくとも8文字以上、実用的には14~16文字程度あればかなり安全度が高いのではないかと考えているが、どんなものだろうか。
アクセス
トータル
ランキング
あと、キーロガーのソフトが仕掛けられていることを考えると、パスワードが仮に「abcde」だとした場合、まずcdeと入力してマウスでカーソルを先頭に移動してabを入力するとかでしょうか・・・。しかし、通信の盗聴やソーシャル・ハッキングもありますしねえ。
思い起こせば20年くらい前は、ユーザーIDとパスワードを同じにしているようなノンビリした時代もありました。
ところで、モーツァルトのヴァイオリン協奏曲の第3番、わたくしはカントロフのを好みます。