【メルマガ】またもや不正アクセスで情報流出、パスワード管理の「きほんのき」を!(2020年11月24日)

不正アクセスにより、三菱電機にて「取引先口座8600件の流出」があった、と発表されました。

インターネット黎明期とは違い、今はデジタルの中にお宝がたくさん埋もれています。
過去は愉快犯が主でしたが、いまや、完全に経済的・政治的な動機で攻撃してきています。

事件の概要と、個人レベルでもできる対策を考えてみましょう。

事件の概要

三菱電機が利用しているクラウドに、不正アクセスされたようです。

執筆時点の情報ですが、なんらかの手段で社員のID/PWが取得され、社員になりすましてアクセスしたようです。
取引先の名前や住所、金融機関口座などが情報流出したとのこと。

実在する社員のID/PWによるアクセスであるため、ID/PWベースでの認証だとなりすましを防ぐことはできません。

個人でできる、基本的な対策

個人でできる対策はしっかりと実施しましょう。
代表的な2点をご説明いたします。

1. パスワード文字数は長い桁数とする

できるだけ長いパスワードを設定しましょう。
システムにより上限桁数が異なりますので、確認しつつ設定しましょう。

パスワード総当たり攻撃により、桁数が短いとあっという間に突破される可能性が高いです。

なお、ランダムな文字列である必要性は必ずしもなく、単語の組み合わせなどでもかまいません。
ランダムであることよりも、長い方が、セキュリティは高いと言われております。

また、「パスワードは定期的に変更してください」と言われておりましたが、今はどちらかと言うと「定期的に変えるよりも、長いパスワードにする」方がよいと言われております。
(定期的に変える必要があると、どうしても「連番」みたいな要素でパスワードを作ってしまうことが多いため、あまり意味がないのです。)

2. パスワードを複数サイトで使い回さない

同じパスワードの使い回しはやめましょう。
脇が甘いサイトから流出し、他のサイトにその情報を用いて攻撃されることがあるためです。
悪意があるサイトやフィッシングに合った時も、影響範囲が広くなってしまいます。

楽に管理する方法

とは言え、そんなのパスワード忘れるよ、となると思います。

そこで便利なのが、パスワードマネージャーです。
ChromeやSafariなどのブラウザにも搭載されておりますし、複数のプラットフォームで利用できるアプリもあります。

パスワードマネージャーの基本機能は以下です。

  • ID/PWを管理する
  • PWを生成してくれる(ランダムな文字列のパスワードを生成)
  • (たいてい、複数端末で情報を同期できる)

上述した「基本的な対策」を、苦労することなく実施できます。

もちろん、このパスワードマネージャー自体が流出、なりすましログインされるとアウトです。
しかし、以下の点より、パスワードマネージャーを使う方がセキュリティは高いと判断しております。

  • 信頼できるパスワードマネージャーを使うことで、プロのセキュリティ専門家の目線でのセキュリティが担保されている
  • パスワードマネージャーを使うためのパスワードだけを管理すればよいため、長く、複雑なパスワードでも(自身が)覚えておきやすい

ちなみに、私は複数のプラットフォームの端末を利用しますので、「1Password」というサービスを利用しております。
(Windows、Mac、iPhone、Android)
「1Password」は、このアプリだけで存続している企業です。
セキュリティに何かあるとオシマイとなり、しっかりとセキュリティは保たれていると考えることができるためです。
また、指紋認証や顔認証など、端末の認証機能を使って1Passwordのロックを解除することも可能ですので、利便性も高いです。

システム目線では

とはいえ、個人でできる対策には限界があります。

本件の事例ですと、システム的に「二段階認証」を取り入れていれば防げたでしょう。

また、各アカウントに「適切なアクセス権を付与」することも大切です。
最悪、なりすましされた場合でも、アクセスできる範囲が少なければ、被害を抑えることができます。
より深い情報にアクセスする場合は、もう一段、認証をさせるという手も有効です。
(金融機関ですと、ログインパスワードと取引パスワードの2つがありますね。)

できることは行いましょう。

メルマガ登録

"意見が持てる" デジタルコラム
『メルマガ Professional's eye』

週1回、3分で楽しめます。


詳細はこちら >>>
送信時点で「Privacy Policy」に同意したものとみなします。
広告を含むご案内のメールをお送りする場合があります。

One more thing

セキュリティと利便性は相反します。
何かのトラブルで、自分自身も入れなくなるということも・・・

※とは言え、もちろん適切なセキュリティは必要です。

関連記事

マジでどうしようか、焦りました。 Synology社のNASを利用しているのですが、セキュリティ上、管理者アカウントは「2段階認証」を設定しています。 しかし、2段階認証のコードが合わないという事象が発生・・・ ログインできず、ち[…]

バックナンバーを見る

>情報システムの

情報システムの"教科書"本を発売中!


■ 情シス、システムコンサルタント、システムエンジニアの方へ
情シスの定石(技術評論社)

■ システムエンジニア、情シスの方へ
システム設計の教科書(技術評論社)

CTR IMG

株式会社グロリア ご紹介