--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2013.04.10 07:10|カテゴリ:Security

パスワードの使い回しは絶対ダメ!! 盗まれたパスワードが他のサイトで試され不正ログインされる事件が多発


 「Tサイト」、「gooID」、「フレッツ光メンバーズクラブ」、「eBookJapan」。
 
 ここ1ヶ月ほど、国内の会員制サイトで不正なログイン攻撃が多発しています。このうち、「gooID」と「eBookJapan」にはある共通点があります。 
 
「gooID」に不正ログイン攻撃、10万アカウントが突破される -INTERNET Watch
 また、当初は、ありがちなパスワードなどを総当たりで試行する辞書攻撃(ブルートフォースアタック)とみられていたが、攻撃ログを解析したところ、単一ID・単一パスワードの一対のセットでログインを試行し、成功しなければ次のセットを順に試行していく手法がメインであることも判明してきた。



【重要なお知らせ】不正ログイン被害のご報告とパスワード再設定のお願い:電子書籍・コミックはeBookJapan
詳細調査の結果、「不正の疑われる複数のIPアドレスからログインページに対して、予め持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」であることが判明いたしました。つまり、大量アクセス行為を仕掛けてきた者は、当社以外の他のサービスなどで他のサービスのログインIDとパスワードを不正に入手し、ユーザーがログインIDとパスワードを共通に設定している可能性を狙って当社サービスに不正にログインしようとし、上記件数についてはログインに成功してしまったということです。



「単一ID・単一パスワードの一対のセットでログインを試行し、成功しなければ次のセットを順に試行していく」

「予め持っていたログインIDとパスワードの適用可否を試行する」


 
 これはどちらも、何らかの方法で入手した他のサービスのログインIDとパスワードを「gooID」と「eBookJapan」で試したものと考えられます。
 
 しかも、その一部は成功しているのです。
 
 実はこの方法は3月にも悪用され、本ブログでも記事にしました。

どこかで漏れたパスワードが『一休.com』への攻撃に使われた! パスワードの使い回しは危険です : I believe in technology
今回の攻撃には、「他のサイト等での登録パスワード」が使われています。もし、同じパスワードを複数のサイトで使いまわしているようであれば、注意が必要です。


 この攻撃手法において理解しておかなければならないのは、最初に流出したサイトはともかく、「gooID」や「eBookJapan」のようにそのIDとパスワードを組み合わせた攻撃を受けたサイトには落ち度がないと言う点です。仮に、パスワードが一致してログインが成功し、正規の利用者が不利益を被ったとしても、この攻撃を受けたサイト側には補償する義務はありません。

 前述の記事でも言っておりますし、当たり前のことでもあるのですが、自分を守るためにもパスワードの使い回しはやめましょう。
 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。