不正ログインが多発！！ 複数のサイトに同じID・パスワードを使っていませんか？

不正ログイン被害が相次いでいて、SNS「mixi」では16日までに、26万3596アカウントが不正ログインを受けたそうです。

　mixiで26万アカウントに不正ログイン　リスト型攻撃、試行430万回 - ITmedia ニュース
　http://www.itmedia.co.jp/news/articles/1406/17/news088.html

なお、今回の事件、「mixi」からの情報流出ではなく、他社サービスから流出したID、パスワードを流用した「リスト型アカウントハッキング」だったとみられています。

「リスト型アカウントハッキング攻撃（リスト型攻撃）」とは、何らかの手段により他者のＩＤ・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いて、様々なサイトにログインを試みる攻撃です。

例えば、サイトA～Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正ログインするというものです。

　　サイトA・・・ログイン　ID＝abc　パスワード＝xyz12345
　　サイトB・・・ログイン　ID＝abc　パスワード＝xyz12345　　＊サイトAとID・パスワードが同じ
　　サイトC・・・ログイン　ID＝abc　パスワード＝xyz12345　　＊サイトAとID・パスワードが同じ

リスト型攻撃による不正ログインは今年に入って急増しており、4月以降だけでも「mixi」「楽天ダウンロード」「ソニーポイント」「My Softbank」などが被害にあっています。

　「niconico」にリスト型攻撃　不正ログイン22万件　17万円分のポイント不正使用
　　　 - ITmedia ニュース
　http://www.itmedia.co.jp/news/articles/1406/13/news064.html


なお、不正アクセスにはリスト型攻撃以外に、「総当たり攻撃 （brute force attack ブルートフォースアタック）」があります。

これは、パスワードを考えられるすべてのパターンをリストアップし片っ端から試し、パスワードを解読しようする試みのことです。使える文字の種類や長さが増えると、組み合わせの数は増大し、見破られる可能性が低くなります。パスワードを見破られないようにするためには、パスワードを複雑にする必要があります。


■
■　不正アクセスから身を守る方法
■

　　　対策1：　ID・パスワードは使い回さない！！

　　　対策2：　単純なID・パスワードは危険大！！
　　　
　　　対策3：　パスワードを定期的に変更！！
　　　
　　　
対策1：　ID・パスワードは使い回さない！！

「リスト型アカウントハッキング」は、同一のID・パスワードで複数のサービスにアタックするため、覚えるのが大変とID・パスワードを一つに決めて、それを複数のサイトで利用したら、万が一、漏れた場合、登録している全サービスで被害を受けかねません。

ID・パスワードなどが流出しないよう十分に注意することは大前提ですが、もし流出してしまった場合でも被害を最小限に食い止めるために、まずは利用サービスごとにID・パスワードを変えるようにすることが大事です。


対策2：　単純なID・パスワードは危険大！！

せっかくID・パスワードをいろいろと設定しても、それが単純なものだと、悪意のある第三者の解析・試行によって推定されてしまいます。

IPAによれば、パスワード解読時間（見破られる時間）を調べたところ、 「英字（大文字・小文字の区別無）」の場合、”4桁で約3秒”、”6桁で約37分”だったそうです。

　今一度、パスワードを点検しましょう！ IPA（情報処理推進機構）
　http://www.ipa.go.jp/security/txt/2008/10outline.html#5

パスワードは、「英字の小文字・大文字、数字、記号を混合させ、8桁以上」のパスワードにしましょう。


対策3：　パスワードを定期的に変更！！

同じパスワードを使い続けると、パスワードが盗まれて悪用される危険性が高まります。パスワードは、定期的に（例えば月毎）変更するようにしましょう。


■
■　簡単なパスワードは危険
■

”桁数の短いパスワードは簡単に見破られる、英字4桁のパスワードは約3秒”

情報処理推進機構（略称 IPA）によれば、パスワード解析ツールを使用して解読時間を調べたところ、以下のようになったそうです。

　今一度、パスワードを点検しましょう！ IPA
　http://www.ipa.go.jp/security/txt/2008/10outline.html#5


　　(1) ”英字（大文字・小文字の区別無）”のパスワード解読時間（見破られる時間）
　　　　　4桁のパスワード・・・約3秒、　　6桁のパスワード・・・約37分
　　　　　8桁のパスワード・・・約17日、　10桁のパスワード・・・約32年

　　(2) ”英字（大文字・小文字の区別有）に数字を加えた”のパスワード解読時間

　　　　　4桁のパスワード・・・約2分、　　6桁のパスワード・・・約5日
　　　　　8桁のパスワード・・・約50年　　10桁のパスワード・・・約20万年

このことから、例えば、簡単にいうと以下のようになります。

　　　　　”saku”　　というパスワード　→　約3秒で見破られる
　　　　　”hanasaku”というパスワード　→　約17日で見破られる
　　　　　”Saku0904”というパスワード　→　約50年で見破られる

4桁のような短い桁数のパスワードは簡単に見破られ、できるだけ長いパスワードのほうが良いことが分かります。また、大文字・小文字を混合させ、更に数字を付け加えるとよいことになります。

”辞書に載っている言葉をパスワードに使うのは危険”

なお、パスワードクラック (辞書引き攻撃)という手法があり、辞書に載っている言葉をパスワードに使うと、英語の辞書や日本語のローマ字辞書、人名辞書の中からパスワードを探し出すまで、大抵1分以内に見破るそうです。

そのため、辞書に載っている言葉など、一般的に知られている言葉をパスワードに使うのは、非常に危険です。