Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ネット被害に遭わないための IDパスワード管理 / Manage IDs and passw...

ykoma
October 03, 2020

ネット被害に遭わないための IDパスワード管理 / Manage IDs and passwords to avoid internet fraud

ykoma

October 03, 2020
Tweet

More Decks by ykoma

Other Decks in Education

Transcript

  1. Agenda ▫ ID/パスワードの基礎知識 〜認証について〜 ▫ 認証が破られると何が起きる? ▫ こんなパスワードは危ない! ▫ 攻撃者の手法

    ▫ セキュリティを高める多要素認証 ▫ パスワードをどう管理すればいいのか ▫ まとめ 2
  2. Agenda ▫ ID/パスワードの基礎知識 〜認証について〜 ▫ 認証が破られると何が起きる? ▫ こんなパスワードは危ない! ▫ 攻撃者の手法

    ▫ セキュリティを高める多要素認証 ▫ パスワードをどう管理すればいいのか ▫ まとめ 4
  3. Agenda ▫ ID/パスワードの基礎知識 〜認証について〜 ▫ 認証が破られると何が起きる? ▫ こんなパスワードは危ない! ▫ 攻撃者の手法

    ▫ セキュリティを高める多要素認証 ▫ パスワードをどう管理すればいいのか ▫ まとめ 12
  4. 何が起こる? ▫ LINEやSNS ▫ 自分の友達に嫌がらせ、違法な商品 の勧誘、ウイルスのバラマキなど ▫ 自分や友達の個人情報を盗まれる ▫ ショッピングサイト

    ▫ 見に覚えのない買い物をされて自分に 代金の請求が来る ▫ オンラインバンク ▫ 不正な振込、出金など 15
  5. Agenda ▫ ID/パスワードの基礎知識 〜認証について〜 ▫ 認証が破られると何が起きる? ▫ こんなパスワードは危ない! ▫ 攻撃者の手法

    ▫ セキュリティを高める多要素認証 ▫ パスワードをどう管理すればいいのか ▫ まとめ 20
  6. 最悪のパスワード Top 10 ▫ 1 - 123456 ▫ 2 -

    123456789 ▫ 3 - qwerty ▫ 4 - password ▫ 5 - 1234567 ▫ 6 - 12345678 ▫ 7 - 12345 ▫ 8 - iloveyou ▫ 9 - 111111 ▫ 10 - 123123 23
  7. 危ないパスワード 典型例 ▫ 文字数が短い ▫ 使われている文字種が少ない ▫ 数字だけ、小文字だけ、大文字だけ ▫ 本人や家族の情報から推測しやすい

    ▫ 名前や誕生日などの組み合わせ ▫ キーボードの並び順どおり ▫ 最悪のパスワード3位のqwertyなど ▫ 英単語をそのままパスワードにしている ▫ 複数サービス間で同じものを使い回し 25
  8. 破られにくい パスワード ▫ 文字数が多い ▫ 許可されている最大の文字数がベスト ▫ 複数の文字種を組み合わせている ▫ 大文字・小文字・数字・記号が全部含まれ

    る ▫ 許可されている文字種はすべて使う ▫ ランダムな文字列 ▫ いかなる情報とも関連がない ▫ 特定の文字に偏っていない ▫ すべてのサイトで異なるパスワードを使う 26
  9. Agenda ▫ ID/パスワードの基礎知識 〜認証について〜 ▫ 認証が破られると何が起きる? ▫ こんなパスワードは危ない! ▫ 攻撃者の手法

    ▫ セキュリティを高める多要素認証 ▫ パスワードをどう管理すればいいのか ▫ まとめ 35
  10. 実際にはどうやって パスワードが知られ てしまうのか ▫ 認証を突破するための手法はいくつも存在する ▫ 時代とともに主流となる手法も移り変わる ▫ 代表的なものを5つ紹介 ▫

    Brute Force / 総当たり攻撃 ▫ Dictionary Attack / 辞書攻撃 ▫ Man in the middle / 中間者攻撃 ▫ Fishing / フィッシング ▫ List Based Attack / リスト型攻撃 37
  11. Brute Force 総当り攻撃 ▫ パスワードの文字列を総当り的に試行してログインを 試みる攻撃手法 ▫ aaaa, aaab, aaac

    … という感じでそのサービスで 許可されるパスワード文字列の存在しうる組み合 わせすべてを試していく ▫ 古典的だが、今でもそれなりに使われている ▫ 人間がキーボードで打ち込むのは時間がかかるが、 プログラムが実行すれば短い時間で多くの試行が可 能 38
  12. Brute Force Dictionary Attack サービス側で 取りうる対策 ▫ 同一IDで一定回数パスワードを間違えたら、一定時間 そのIDでのログインを制限する ▫

    試行にかかる時間を大幅に伸ばせるため、対策と して有効 ▫ しかしパスワードを固定し、IDを総当りする Reverse Brute Forceという手法が生まれた ▫ 同一IPアドレス(アクセス元の住所のようなもの)から短 時間で多くのログイン試行があった場合に、そのIPアド レスからのログインを一定時間制限する ▫ IPアドレスを散らしてアクセスすることで回避でき てしまう 40
  13. Brute Force Dictionary Attack ユーザ側で 取りうる対策 ▫ 強度の高いパスワードを使う ▫ 文字数が多ければ多いほど

    ▫ 使われている文字種が多ければ多いほど ▫ 総当りで答えにたどり着くのに時間がかかる ▫ 通常、攻撃者は強いパスワードを破ることを目的 にはしておらず、弱いパスワードを使っている人 を狙い撃ちする ▫ 他の人と決してかぶらないパスワードを使う ▫ 一度どこかで誰かが漏洩させたパスワードは以 後Dictionary Attackの標的になる 41
  14. Man in the middle 中間者攻撃 ▫ ユーザが入力したIDやパスワードを、通信を傍受す ることで盗み取る攻撃手法 ▫ インターネットの通信は、その仕組み上、簡単に傍受

    することができてしまう ▫ 通常は、傍受されても問題ないよう、通信内容を 「暗号化」することでサービスと利用者以外の第 三者には内容が分からないようにして対策する ▫ 近年は公衆Wi-Fiサービスを経由して盗み取られる 事例が多くなっている ▫ 公衆Wi-Fiサービスの多くは通信経路が暗号化 されていない 42
  15. Man in the middle サービス側で 取りうる対策 ▫ 通信内容を秘匿するための暗号化の対策を取る ▫ 具体的には、https

    (HTTP over SSL)という通信 規約で通信を行う ▫ すべての通信を暗号化する ▫ 平文(暗号化されていない生の内容)での通信 を一切しない ▫ サイトによっては、httpsでもhttp(暗号化されな い通信規約)でもどちらでも参照できるようになっ ているところもあるが、「選択肢を示す」のではな く、強制的に暗号化通信をするべき 43
  16. Man in the middle ユーザ側で 取りうる対策 ▫ 閲覧しているサイトのURLがhttpsになっているかを 確認する ▫

    URLバーに鍵マークが付いているか ▫ 不完全な場合は!がついたりする 44 Google Chrome Microsoft Edge
  17. Fishing ユーザ側で 取りうる対策 ▫ まずメールの内容をよく見て、内容に不自然な点が ないか確認する。 ▫ 判断に迷ったら、リンクを踏む前にサービス側に問い 合わせてみる ▫

    メールに含まれているリンク先ドメインの確認 ▫ 普段利用しているサービスのものと一致してい るか ▫ 送信元メールアドレスのドメインも確認するべき だが、送信元メールアドレスは簡単に偽装可能 なので、これだけで信用はしない ▫ HTMLメールが利用されている場合、表示されている URLと実際のリンク先URLが異なる場合もあるため、 リンク先のURLもよく確認する 47
  18. List Based Attack リスト型攻撃 ▫ あらかじめ、漏洩したIDやパスワードのリストを入手 しておき、その情報を使って不正アクセスを行う手法 ▫ ダークWeb(ネット裏社会)で買うなど ▫

    これまで紹介した手法とは明らかに性質が異なる ▫ これまで紹介した手法などを駆使して、すでにど こかでID・パスワードが漏洩した人を標的にする ▫ ID・パスワードを複数のサイトで流用している人 は、いろんなサイトで被害に遭うことになる ▫ 近年報道される不正アクセス事件はほとんどがこれ 48
  19. List Based Attack サービス側で 取りうる対策 ▫ 多要素認証の導入 ▫ ID/パスワード以外にもう一つの要素を使ってロ グインをする仕組み(詳細は後述)

    ▫ それ以外の部分では対策しにくい ▫ なにせ本物のID・パスワードでログインしてくる わけで・・・ 49
  20. List Based Attack ユーザ側で 取りうる対策 ▫ 強度の高いパスワードを使う ▫ そもそも漏洩しない努力が第一 ▫

    でも利用者以外の責任で漏れてしまう場合もあ るので、これだけでは防げない ▫ 多要素認証がサービスに導入されている場合は多 要素認証を使う ▫ 導入はされていても、利用は任意であることが 多い ▫ 同じパスワードを複数のサイトで使用しない 50
  21. Agenda ▫ ID/パスワードの基礎知識 〜認証について〜 ▫ 認証が破られると何が起きる? ▫ こんなパスワードは危ない! ▫ 攻撃者の手法

    ▫ セキュリティを高める多要素認証 ▫ パスワードをどう管理すればいいのか ▫ まとめ 51
  22. 認証の3要素 ▫ 知識要素(ユーザが知っていること) ▫ ID/パスワード ▫ 秘密の質問(母親の旧姓は?) ▫ PINコード ▫

    所持要素(ユーザが持っているもの) ▫ メールアドレスやSMSなどで送信されるワンタイ ムトークン ▫ トークンデバイス ▫ IDカード ▫ 生体要素(ユーザの身体的情報) ▫ 指紋 ▫ 顔 ▫ 静脈 54
  23. 3要素のうち 2個以上を 組み合わせるのが 多要素認証 ▫ 知識要素(ユーザが知っていること) ▫ ID/パスワード ▫ 秘密の質問(母親の旧姓は?)

    ▫ PINコード ▫ 所持要素(ユーザが持っているもの) ▫ メールアドレスやSMSなどで送信されるワンタイ ムトークン ▫ トークンデバイス ▫ IDカード ▫ 生体要素(ユーザの身体的情報) ▫ 指紋 ▫ 顔 ▫ 静脈 55
  24. 二段階認証? ▫ 多要素認証と似た言葉で「二段階認証 (2-step Authentication」という言葉がある ▫ ログイン時にID/パスワードに加えて何らかの追 加要素を要求する認証方法 ▫ ID/パスワードの入力後に秘密の質問の回答を

    入力させるなど ▫ ログインに2ステップが必要という意味では、多要素 認証も二段階認証の一種といえる ▫ 一方、前述の「ID/パスワード」と「秘密の質問」の組 み合わせは、多要素認証ではない 57
  25. これは知識要素 だけなので ID/パスワードだけよ りは強固だが 多要素認証には劣る ▫ 知識情報(ユーザが知っていること) ▫ ID/パスワード ▫

    秘密の質問(母親の旧姓は?) ▫ PINコード ▫ 所持情報(ユーザが持っているもの) ▫ メールアドレスやSMSなどで送信されるワンタイ ムトークン ▫ トークンデバイス ▫ IDカード ▫ 生体情報(ユーザ自身の身体的情報) ▫ 指紋 ▫ 顔 ▫ 静脈 58
  26. ID/パスワードと 秘密の質問の 組み合わせ ▫ 不正ログインのために知る必要がある情報が増えて いる ▫ 単純なID/パスワードだけよりは、セキュリティは 高い ▫

    一方、例えばシステムに侵入されて、データをすべて 盗まれてしまったら、両方の情報が同時に漏洩する ため、不正ログインはできてしまう ▫ 多要素認証であれば、仮にデータをすべて盗まれた としても、それだけではログインできない 多要素認証はセキュリティを飛躍的に高めるので、 提供されているサイトでは積極的に活用しよう 59
  27. Agenda ▫ ID/パスワードの基礎知識 〜認証について〜 ▫ 認証が破られると何が起きる? ▫ こんなパスワードは危ない! ▫ 攻撃者の手法

    ▫ セキュリティを高める多要素認証 ▫ パスワードをどう管理すればいいのか ▫ まとめ 60
  28. 破られにくい パスワード (おさらい) ▫ 文字数が多い ▫ 許可されている最大の文字数がベスト ▫ 複数の文字種を組み合わせている ▫

    大文字・小文字・数字・記号が全部含まれ る ▫ 許可されている文字種はすべて使う ▫ ランダムな文字列 ▫ いかなる情報とも関連がない ▫ 特定の文字に偏っていない ▫ すべてのサイトで異なるパスワードを使う 63
  29. Bitwarden ▫ https:/ /bitwarden.com/ ▫ 個人的イチオシ ▫ 知る限り唯一のオープンソースソフトウェア ▫ 製品のプログラムが公開されていて世界中

    の多くのエンジニアに監視されている →中の人が簡単に悪さできない ▫ iOS/Android/Chrome/InternetExplorerなど 多くのプラットフォームに対応 ▫ 有料プランもあるが、無料で十分使える 68
  30. 1password ▫ https:/ /1password.com/jp/ ▫ たぶん一番定番(使ってる人をよく見る) ▫ 月額$2.99~ 69 Lastpass

    ▫ https:/ /www.lastpass.com/ ▫ 1passwordの次ぐらいによく見る ▫ 無料版でもそこそこ使える RoboForm ▫ https:/ /www.roboform.com/jp ▫ 歴史のあるパスワードマネージャ ▫ 複数のデバイスで利用するには有料版が必要
  31. だいたい どれを選んでも ▫ 複数のデバイスから一元管理されたデータにア クセスできる ▫ PCから登録したパスワードをスマホから呼び 出すことができる ▫ セキュリティにものすごく力を入れている

    ▫ 攻撃者から見れば紛れもなく「宝の山」 ▫ それをわかっているため、セキュリティは最 重要課題として力を入れている ▫ フォームへの自動入力機能を備えている ▫ コピペの手間が不要 70
  32. Agenda ▫ ID/パスワードの基礎知識 〜認証について〜 ▫ 認証が破られると何が起きる? ▫ こんなパスワードは危ない! ▫ 攻撃者の手法

    ▫ セキュリティを高める多要素認証 ▫ パスワードをどう管理すればいいのか ▫ まとめ 73
  33. まとめ ▫ ID/パスワードを基本とする認証について勉強しました ▫ 不正アクセスを行うための攻撃手法は多種多様であり、 日々新たな手口が生まれています ▫ パスワード強度が低いパスワードを使ったり同じパスワード をいろんなサイトで使い回すのは非常に危険です ▫

    多要素認証はセキュリティを飛躍的に向上させるため、積 極的に活用しましょう ▫ パスワードマネージャを活用して、強度の高いパスワードを 安全に管理し、できる限りの自衛をしましょう 75