ハッカーは手抜きパスワードを辞書攻撃で最初に試す
IDやパスワード、メールアドレスの流出は2019年になっても止まりません。
FBまた個人情報流出か 2億6700万人分https://t.co/k5bYvCbzys
ほとんどは米国の利用者の個人情報で、FB利用者のIDや名前、電話番号などの個人情報が約2週間にわたりネット上で誰でも閲覧できる状態になっていました。
— 産経ニュース (@Sankei_news) December 21, 2019
個人情報は流出するものと思っておくしかない
大手企業からでも公共機関からでも個人情報は流出するものと思っておくしかありません。
神奈川県庁のHDD横流しによる文書情報流出事件も川上の依頼者はそんな流出騒動になるなんて思ってもなかった話です。でも実際に事件がおこりました。
氏名や住所、電話番号などはちょっと前まで普通に電話帳に掲載されていました。
学校のクラス名簿や同窓会名簿だって情報掲載が任意になったのは最近の話です。
氏名や家族構成、住所、電話番号、勤務先などの個人情報の取り扱いは、2003年の個人情報保護法が施行されるまでは各団体のポリシーやガイドラインまかせでした。
今現在でもあなたが利用規約に同意した範囲で個人情報は共有されています。
2003年以前の情報に流れ出た個人情報は名簿として今もネット上で流通しています。
IDとメールアドレスとパスワードのセットで流出した場合が最悪
インターネット時代になって、さまざまなウェブサイトでログインを求めれます。
IDとパスワード、あるいはメールアドレスとパスワードを用いてログインするのが通常です。
このセットが流出してしまった場合が最悪です。
Aというウェブサイトから流出してしまった情報と同じセットをBというウェブサイトでも用いていた場合、簡単に成りすましログインが成功してしまいます。
ここを防ぐには二段階認証の導入やウェブサイトごとに異なるIDやパスワードを用いるかしかありません。
なりすましログインが成功してしまった場合、そのウェブサービスに登録してある会員情報は閲覧可能になりますし、セキュリティーが低い場合情報書き換えやクレジットカード番号情報の閲覧や購入、送金が出来てしまうこともあり得ます。
IDやパスワードをさまざまにしていても不正ログインは防げない
同じIDとパスワード、メールアドレスとパスワードのセットを使いまわしていない場合でも安心できません。
ハッカーには辞書攻撃という手段があります。
ハッカー側が所有しているデータに基づいてあらゆるパターンを順番に試みて総攻撃する手法を辞書攻撃と言います。
まず、IDやメールアドレスがデータ上にある場合、そのセットが試されます。
過去に流出したことがあるセットを使い続けることは絶対に避けるべきです。
次に氏名や家族の名前、誕生日、住所、電話番号、ペットの名前などの組み合わせで試みられます。
漏れている可能性がある個人情報をもじって使うことは避けてください。
過去にSNS上で明かしてしまった各種の個人情報はIDやメールアドレスに紐付けされていると思ってください。
IDやメールアドレスで登録があることがわかった場合(ご丁寧に「パスワードが違います」とIDやメールアドレスの登録はあるけれどパスワードが間違えてるよ!と教えてくれるウェブサービスは要注意!)、データベース上でもっとも多く用いられているパスワードから順番に試していきます。
世間でよく用いられるような手抜きパスワードを絶対に控えておくべき理由がここにあります。
たくさん使われている手抜きパスワードの例
123456
password
123456789
12345678
12345
111111
1234567
qwerty
iloveyou
princess
admin
welcome
666666
abc123
123123
654321
!@#$%^&
aa123456
password1
qwerty123
このなかに該当がある人、似たパスワードも用いている人は最悪のケースですから速効でパスワード変更してくださいね。
これらの手抜きパスワード例をみれば、キーボード上で近い文字を使うことは避けたほうが良いとわかります。
英字と数字は最低でも1つは含めないといけない場合、1か123を付加する手抜きが多いこともハッカーにバレバレです。
有名人の名前や流行語の利用も同様の理由で避けるべきです。
