たまには真面目な話 アカウントの保護について

とある知り合いから、急にログインできなくなったとの連絡がありました。
どうも、正しいパスワードを入力しているにも関わらず、パスワードが違うとエラーが出るとのこと。
これはどうやら、アカウントの乗っ取りみたいだ…ということで、運営に報告するように勧めましたがどうなることやら…。
というわけで、今日は少し真面目に、アカウントを保護する方法についてです。

よければぽちっと押してください!

人気ブログランキング

アカウントが乗っ取られる。という話は、1度は聞いたことがあるかと思います。

けど、自分のアカウントは大丈夫だと思っていませんか?
高価なアイテムもないし、お金もない。こんなアカウント、狙う必要がないでしょ?
と、安心しているかたもいらっしゃるかと思います。

まず、「自分のアカウントなんて狙われない」なんて考えは、この際、捨ててしまってください。
どんなアカウントであっても、お金に換えることは可能です。

また、これは、攻撃者の立場に立ってみるとわかることなんですが…
高価なアイテムを持ってる有名なプレイヤーのアカウントを乗っ取りたいと思ったとき、攻撃者が何をしないといけないかというと…

  1. 攻撃対象のユーザIDを特定する。
  2. パスワードを割り出す
  3. ワンタイムパスワードが設定されていないことを祈る
というような手順を踏まなければなりません。
この3つを達成するためには、ターゲットの調査とか、場合によってはマルウェアに感染させるといった手法を取らなければならず、手間も時間もかかります。

サイバー犯罪者が攻撃する目的は、「お金」ですので、時間のわりに稼ぎが少ない攻撃方法はあまりとらないと考えられます。
ということは、特定のアカウントだけを狙うなんて行為は、非効率的なんですよね。

参考までにこちらの数字をご覧ください。
20190311202504
少し、文字が小さいのですが、左から750万、170万…と数字が続いています。
こちらは、まったく有名ではないサイトに、1日でサイバー攻撃があった回数を示しています。
つまり、最も多い攻撃で1日750万件の攻撃があるということです。
まったく有名ではないサイトでこれですから、ドラクエ10のサーバなどは、これの数万倍の攻撃にさらされていると考えていいでしょう。

では、どういう攻撃が多いかというと、ブルートフォース攻撃(総当たり攻撃)や、リスト型攻撃と言われる攻撃です。

ブルートフォース攻撃は、それこそ数打ちゃあたる的な考え方で、総当たり的にIDとパスワードを入力していく攻撃方法です。パスワードによく使われる単語を辞書にして、それを使ってくるケースもあります。
この攻撃から守るには、パスワードの質が重要と言われています。
パスワードの桁数が多く、その内容も複雑であるほど強いパスワードといえます。
ただ、こういうパスワードは記憶するのも大変ですので、忘れてしまうリスクが付きまといます。
おおむね、英数字混在で12桁ほどあり、よく使われる単語や連続した文字だけで構成されていなければ、安全なパスワードと言えるでしょう。
悪い例)password p@ssword passw0rd p@$$w0rd
    これらはすべて、辞書に登録されていますので、すぐに解読されます。

リスト型攻撃というのは、別のサイトで漏洩したユーザIDとパスワードの組み合わせを試す攻撃です。いろいろなサイトで同じIDとパスワードを使いまわしていると、この攻撃の餌食になります。
この攻撃から守るには、同じパスワードを使いまわさないのが重要です。
例えば、パスワードの4文字目と8文字目だけを変える…といった方法でも、十分パスワードを強化することができます。

そしてなにより…
ワンタイムパスワードの導入です。
時間ごとにパスワードがランダムで変更され、アプリやツールを使ってパスワードを入力するやつですね。
これを入れるのと入れないのとでは、セキュリティのレベルに大きな差があります。
これは、導入しておくことを強くお勧めします。

私のフレのような不幸な方を出さないためにも…
面倒ですが、セキュリティを高めて、自分のアカウントをしっかりと守ってくださいね!

もうすこし、詳しくセキュリティのことが知りたい方は、こちらのサイトもチェックしてみてください!

よければぽちっと押してください!

人気ブログランキング

Pocket
LINEで送る

コメント

  1. 前やってたゲームでよくあったのが俗に言う「相方」の犯行なんだよ~
    ひどいケースだと相方にアカウント売られたなんてのもあったよ!
    相方がかわりにインするからワンタイム導入しない、みたいなのは危険
    攻撃者、業者だけとは限らない
    デル 心のカワヤナギ

  2. >>1
    広義のソーシャルエンジニアリングだね!
    他にも、ランダムに送りつけたメールからフィッシングサイトに誘導してIDとパスワード盗むやり方とか、キーロガー仕込むやり方とか、まぁ、いろいろあるw
    デルちゃんの例だと、ドラクエのアカウント利用規約にも引っかかるから…

タイトルとURLをコピーしました