ブログ

[ - ブログ一覧 - ]
2012年 02月15日 水曜日

個々で出来る9つのFacebook乗っ取り対策

 2月1日(水)に株式上場の申請をしたFacebook。日本でもニュースになるほど注目されており、このニュース報道によって、さらに利用者数を増やしています。

 しかし利用者数が増えれば、それだけ不正利用のターゲットになりやすくもなります。そこで自分の身を自分で守るため、Facebook向けのセキュリティ対策、特に乗っ取り対策を書いてみました。

 まずはFacebookについてです。

 Facebookは、mixiといったサービスと同じ、ソーシャルネットワークサービスです。2011年9月には、ネットレイティングス株式会社が日本国内の利用者が1千万人を突破したと発表しました。ただし、株式会社セレージャテクノロジーは2012年1月27日に、676万人を突破という発表をしています。

 この数字の差については、別の機会に譲るとして、日本国内でも676万人超という大きな数字になっていることは事実であり、同時に影響力も強くなっていると言えます。

 特にFacebookの影響力の1つは、mixiが匿名登録を認めていることに対して、Facebookは実名登録というルールが生み出してる効果です。

 実名登録によって何が起こるのか?

 実名登録によって、登録者に対する信頼性が高まります。また、どこの誰か分からない人の発言よりも、どこの誰か分かってる人の発言の方が信頼されます。

 当然、信頼性が高い投稿は、知人たちによって拡散され、知人の知人へと拡がります。この拡がる効果をバイラル効果といい、ソーシャルネットワークサービスは、このバイラル効果を高めるサービスと言えます。

 実名登録ということもあり、すでにホームページ等に実名を公開している企業家たちや自営業者たち、自らの名前をブランドにさえするフリーランスたちや芸能人たちが、Facebookのバイラル効果を活用しています。

 そうなると脅威となるのが、アカウントの乗っ取りになります。ある日突然、自分のアカウントが乗っ取られて、Facebookでつながる多くの知り合いに、不適切な文章や広告を送り出したら、どうなるのでしょう?

 2011年のFacebookの発表では、10億件以上あるアカウントのうち、毎日0.06%が乗っ取りの被害にあってるとのことです。10億件の0.06%とは、60万件です。

 あなたのアカウントが60万件の1件になる可能性があるわけです。

 Facebookも乗っ取り対策をシステムに組み込み出しています。しかし一方で、個々の利用者もアカウントが乗っ取られないように、自らを守る知識を持つことが大事です。

 そこで今回は、IDとパスワードの守り方を紹介したいと思います。

1. 他のサービスとパスワードの共有をやめよう!

 あなたのFacebookのパスワードは、mixiで使ってるパスワードと一緒なんてことはないですか? mixiではなくても、他のサービスで使っていれば、それだけ危険性が増すことになります。

 最近は、ブラウザとサービスサーバのあいだは、SSLなどの暗号化された通信で行われていることが多いです。しかし、古いサービスの場合、暗号化されないまま通信されている場合があります。

 もし、暗号化されないIDやパスワードが、通信経路で覗き見られてしまえば、IDとパスワードを盗まれることになります。それがもしFacebookでも使っているIDとパスワードであれば、Facebookにログインされてしまいます。

 IDやパスワードの共有は、危険も共有することになるので、サービスごとに専用のIDやパスワードを用意しましょう。

2. パスワードを長くしよう!

 オーソドックスな手法の1つが、このパスワードを長くする手法です。

 パスワード解析の手法には、文字の組み合わせを総当りで試すブルートフォースアタックというものがあります。最近の多くのサービスでは、連続〇回ログインミスがあるとアカウントをロックするなどの対処がされており、Facebookでも同様なのですが、そのような対処がされていない他のサービスとパスワードを共有していて、そのサービスからパスワードを総当りで解析されてしまえば、Facebookにもログインされてしまいます。

 そこで、解析されにくい長いパスワードが重要になります。

 例えば、passのような英小文字4文字のパスワードの場合、CPU速度が2GHz程度のPCで5秒も掛からず総当り可能です。しかし、倍の8文字になると半月以上、10文字になると30年以上掛かると言われています。

3. パスワードには小文字、大文字、数字を混ぜよう!

 2つ目は、パスワードに使う文字種を、小文字、大文字、数字と増やすことです。文字種を増やすことで、総当りに強いパスワードにすることが可能です。

 例えば小文字だけ大文字だけでは、使用できる文字種はA~Zの26種類だけですが、小文字と大文字を区別して数字まで含めると、62種類の文字が使えるようになります。

 先ほどの例で4文字だと5秒も掛からないと言いましたが、大文字と小文字と数字の組み合わせで4字となれば、解析に約2分は掛かることになります。さらに10文字ともなると、なんと20万年という数字です。

4. 単純なパスワードは避けよう!

 パスワードには、ランダムな小文字、大文字、数字で10文字以上にすることが理想です。しかし、当然のようにランダムな文字列は、覚えにくいです。

 そこで多くの人は、覚えやすい文字列=単語や語句にしてる人が多いのではないでしょうか?

 しかし、覚えやすい文字列となると、それを予測したリストを使ったブルートフォースアタックが行われ、パスワードが解析されてしまいます。

 2011年に、あるハッカーグループが某サービスより6万2千人分のメールアドレスとパスワードを盗み出し、それを公開するという事件がありました。このとき登場頻度が高いパスワードは以下の3つでした。

 1位. 123456(570件)
 2位. 123456789(187件)
 3位. password(133件)

 文字数があっても、単純なパスワードの危険性が分かると思います。

5. ソーシャルなパスワードは避けよう!

 暗証番号に誕生日を使うのはやめましょうと、銀行をはじめいろいろなところで言われます。しかし、Facebookのようなサービスでは、さらに問題があると言えます。

 なぜなら答えがサービスの中で示されることがあるからです。

 ソーシャルネットワークサービスでは、プロフィールと称して、多くの個人情報を登録する傾向があります。当然その中には、誕生日や電話番号もあります。

 また友だちリストによって、家族や恋人も見つけやすいです。そのため彼氏、彼女、夫、妻の誕生日をパスワードにしていても、推測される可能性は大です。当然、自らの数字と合わせたり加えたりしても、元になる数字が発見できれば、パスワードを推測しやすくなります。

 数字以外にも、家族の名前、恋人の名前、ペットの名前、好きなアーティストの名前、好きな楽曲のタイトル、好きな漫画のタイトルをパスワードにしていませんか? これらをソーシャルな情報として、投稿の中に書いていませんか?

6. パスワードの文字列は加工しよう!

 ランダムな文字の羅列は覚えにくいです。しかし、単純な単語や語句は推測されやすいです。そこで、文字列の加工が効果を発揮します。

 加工方法の1つ目は、文字数を増やす方法です。単純な単語や語句でも2度3度と繰り返すことで、リストに出てくる可能性は低下しますし、文字数も増加します。

 例えば、passwordであれば、passwordpasswordと2回繰り返せば、リストの登場可能性は減りますし、16文字になります。

 加工方法の2つ目は、ルールを作って大文字を組み込む手法です。

 例えば、奇数番目を大文字にするなどです。passwordの場合は、PaSsWoRdになります。

 加工方法の3つ目は、文字の形状で英字を数字に置き換える手法です。

 例えば、A→4、b→6、B→8、d→6、e→9、E→3、g→8、iI→1、l→1、Mm→3、N→2、oO→0、pP→9、q→9、sS→5、tT→7、vV→7、zZ→2のような置き換えがよくあります。先のpasswordであれば、p455w0r6になるわけです。

 これらの手法を組み合わせて、推測されにくいパスワードを作ってみて下さい。

7. 個人情報へのアクセス権を把握しよう!

 プロフィールや投稿にあるソーシャルな情報から、パスワードの類推されるケースを上げました。であれば、パスワード自体を守るだけなく、ソーシャルな情報を守ることも、ソーシャルネットワークサービスでは大事になります。

 そこで確認するべきは、情報へのアクセス権です。

 プロフィールを誰でも閲覧できるようにしてませんか? 投稿を誰でも閲覧できるようにしてませんか? もししていれば、閲覧できるのを友だちまでとすることで、不特定多数にソーシャルな情報を見られる危険が減ります。

8. Facebookアプリに気を付けよう!

 Facebookの楽しい要素として、さまざまなFacebookアプリの存在があります。しかし同時に、Facebookアプリがプロフィールや投稿へのアクセス権を持つことがあるので、Facebookアプリ経由でソーシャルな情報が閲覧されてしまうという可能性が生まれます。

 あなたが許可したFacebookアプリは、悪意を持った人が作ったものでないと言い切れますか? そのFacebookアプリの提供サーバのセキュリティが低く、個人情報の流出の危険はありませんか?

 不審なFacebookアプリ、不必要なFacebookアプリは、許可しないようにするべきです。また、信頼できるFacebookアプリであっても、使わなくなったら許可を取り消すべきです。

9. IDを隠そう!

 FacebookのIDは、メールアドレスが使われます。この時、普段使ってるメールアドレスで登録してないでしょうか?

 普段使ってるメールアドレスは、それだけ多くの人が知ってることになります。当然、BCCで送るべきところをCCで送られてしまって、本来知らないはずの人に知られてしまうこともあります。

 メールアドレスが知られるということは、ログイン時に使う情報の半分を知られてしまうということを意識すべきです。IDとなってるメールアドレスを隠せば、それだけ乗っ取られる可能性は半減します。

 そこで専用のメールアドレスを準備する方法ですが、今では多くの無料メールサービスがあります。例えば、Yahoo! JapanはYahoo!メールを、MSNはHotmailやLiveメールを、GoogleはGmailを提供してくれています。

 これらのサービスを使ってFacebook用メールアドレスを準備し、登録を変更し、登録メールアドレスの閲覧アクセス権を自分のみにすることで、IDもパスワードも秘匿したセキュリティ強度の高い利用が可能になります。

 以上、IDとパスワードの守り方として、9つ紹介しました。あなたは、いくつをすでに実践してますか?

 Facebookのでアカウント乗っ取りは、海外ではしばしば話題となり、問題になっています。そして日本でも、アカウント乗っ取りが起こり出しました。

 こんな時期だからこそ、IDとパスワードを見直してみてはどうでしょうか?

コメント / トラックバック 停止中
2009年 09月10日 木曜日

コンテンツとは何か? 第4回「娯楽や教養の情報=コンテンツ?」

 娯楽や教養のコンテンツと言われると、多くの人はすぐに、今まで紹介してきコンテンツを思い浮かべることだろう。しかし、この「娯楽や教養」という表現は、「娯楽と教養」と2タイプのみと限定しているものではなく、他にもあることを暗示する表現の仕方である。

 では、娯楽と教養以外のコンテンツとは、どんなものが上げられるだろう? 今回はその辺を考えてみたい。そうすることで、タイトルにある意味を、正しくとらえることができるのではないだろうか。
続きを読む

コメント / トラックバック 停止中
2009年 09月03日 木曜日

コンテンツとは何か? 第3回「創作物=コンテンツ?」

 さて、第3回は「創造物であること」について、考えていきたい。

 まず、たびたび例で上げている「文字」「音声」「映像」や、「ニュース」「小説」「映画」「テレビ番組」「歌」「ビデオゲーム」「マンガ」「アニメ」を、創作物ではないと思う人はいないだろう。これらに共通することは、人が作り出した物ということだ。

 創作物という単語を大辞林を調べると、以下のような説明が出てくる。

(1) 創作した芸術作品。
(2) 人の精神的・思想的産物の総称。著作物・発明品・実用新案・意匠・商標など。

大辞林 第二版(goo 調べ)

 まず、(2) について考えてみたい。「著作物」などの「人の精神的・思想的産物」であれば、コンテンツになるのか?ということである。
続きを読む

コメント / トラックバック 停止中
2009年 08月27日 木曜日

コンテンツとは何か? 第2回「情報=コンテンツ?」

 前回、コンテンツとする条件の1つに、「情報」であることを紹介した。しかし、この「情報」と言う表現も、また漠然とした抽象的なものだ。

 そもそも「情報」という単語は、「敵情を報(しら)せる」の意味で、軍事用語 renseignement(仏語)を訳すために当てられた、中国語にはない和製単語だそうだ。ちなみに中国語で情報は「信息」というそうだ。

 そんな「情報」という単語が、今では軍事用語の域を出て、さまざまなシーンで使われるようになった。そのせいで、より漠然と抽象的なものになってしまったのかもしれない。

 そこで再び、Wikipedia で「情報」について調べてみた。
続きを読む

コメント / トラックバック 停止中
2009年 08月20日 木曜日

コンテンツとは何か? 第1回「コンテンツの現定義」

 あなたはコンテンツとは何かと、考えたことがあるだろうか?

 世界的に評価されているコンテンツ産業という言い方をした場合、日本では「マンガ」「アニメ」「ゲーム」が最初に上げられるはず。アメリカの場合は、ハリウッドが生み出す「映画」が、それだろう。

 英和辞典で調べると、contents は content の複数形であり、content の意味は「内容」や「中身」という抽象的な表現で記されている。

 では内容とは?

 Wikipedia で「コンテンツ」を調べると、以下のような説明が出てくる。
続きを読む

コメント / トラックバック 停止中
[ - ブログ一覧 - ]