ネット被害に遭わないための IDパスワード管理 / Manage IDs and passwords to avoid internet fraud

Transcript

1. あなたは大丈夫！？ ネット被害に遭わないための ID/パスワード管理

2. Agenda ▫ ID/パスワードの基礎知識 〜認証について〜 ▫ 認証が破られると何が起きる？ ▫ こんなパスワードは危ない！ ▫ 攻撃者の手法

   ▫ セキュリティを高める多要素認証 ▫ パスワードをどう管理すればいいのか ▫ まとめ 2

3. Caution 本勉強会は、参加者のネットリテラシー向上を 目的としたものであり、この勉強会にて知った 知識を実践したことにより何らかの損害が発生 したとしても、当方は一切の責任を負いませ ん。 この勉強会での内容を実践すれば被害を100% 防げるというものではなく、リスクをいかに軽減 するかということを主眼においたものであること をご理解ください。

   3

4. Agenda ▫ ID/パスワードの基礎知識 〜認証について〜 ▫ 認証が破られると何が起きる？ ▫ こんなパスワードは危ない！ ▫ 攻撃者の手法

   ▫ セキュリティを高める多要素認証 ▫ パスワードをどう管理すればいいのか ▫ まとめ 4

5. ID/パスワードの基礎知識 〜認証について〜

6. ID・パスワード とは何か ▫ ID = Identifier ▫ 「誰であるか」を示すもの ▫ パスワード

   = 合言葉 ▫ 「本当にその人かどうか」を示すも の 6

7. ID・パスワード とは何か ▫ 受け入れるサービス側にとってみれば ・・・ ▫ 今アクセスしてきてるのが◦さんであ ること ▫ 間違いなく◦さん本人であること

   ▫ を、本人しか知らない（はず）のパスワー ドを知っていることで担保している 7

8. 他にもある 身近な認証 キャッシュカードを入れ 暗証番号を入力 8 窓口で名前を伝え 身分証を提示 指紋（生体情報）によるス マホのロック解除

9. ちょっと話は それますが 認証 (Authentication)と似た言葉で 認可 (Authorization) という用語があります。 9

10. 認可 誰にどの操作を許可し、どの操作を許可 しないかを管理する つまり権限管理の仕組みが認可 多くのITシステムでは、認証と認可を組み 合わせてユーザに安全かつ適切な範囲 でサービスを提供している。 ・・・という建前になっている。 10

11. 話を戻して 今回は、認証の重要性と、ネットにおいて 最も基本的な認証である、ID・パスワード を使った認証について勉強していきます。 （認可については、今回の趣旨から少し外 れるので用語の紹介のみ） 11

12. Agenda ▫ ID/パスワードの基礎知識 〜認証について〜 ▫ 認証が破られると何が起きる？ ▫ こんなパスワードは危ない！ ▫ 攻撃者の手法

    ▫ セキュリティを高める多要素認証 ▫ パスワードをどう管理すればいいのか ▫ まとめ 12

13. 認証が破られると何が起きる？

14. 認証が破られる 認証が破られるとは、つまり 本人以外が本人としてサービスを利用で きてしまう ことを意味します。 ID/パスワードが何らかの原因で他人に 知られてしまうことで（皆さんが思ってるよ りもはるかに）容易に起こり得ます。 14

15. 何が起こる？ ▫ LINEやSNS ▫ 自分の友達に嫌がらせ、違法な商品 の勧誘、ウイルスのバラマキなど ▫ 自分や友達の個人情報を盗まれる ▫ ショッピングサイト

    ▫ 見に覚えのない買い物をされて自分に 代金の請求が来る ▫ オンラインバンク ▫ 不正な振込、出金など 15

16. どうすれば・・・ 100%防ぐ手立てはありません。 16

17. なぜ？ ▫ 攻撃手法は多種多様で、日々新しい手法が生ま れており、イタチごっこ ▫ 新しい業態が登場することで、そこに新たな付け 入るスキ（脆弱性）が生まれることがある ▫ 「ドコモ口座」に端を発した不正出金問題はそ の典型

    ▫ 提供する企業側のセキュリティに対する意識や 技術の高さに依存する部分も大きい 17

18. つまり 利用者側の努力だけで 100%防ぎ切ることはできない 18

19. でも一方で ▫ 私達自身が少し注意することで、100%は 無理でも、そこに近づけることはできる！ ▫ サービス側の脆弱性に起因する事件も数 多く起きているが ▫ 実は実際に被害に遭っているのは何ら か「脇が甘い」人がほとんど

    19

20. Agenda ▫ ID/パスワードの基礎知識 〜認証について〜 ▫ 認証が破られると何が起きる？ ▫ こんなパスワードは危ない！ ▫ 攻撃者の手法

    ▫ セキュリティを高める多要素認証 ▫ パスワードをどう管理すればいいのか ▫ まとめ 20

21. こんなパスワードは危ない！

22. 最悪のパスワード ▫ 米国のセキュリティ会社SplashDataが毎 年「最悪のパスワードTop50」を公開して いる ▫ 実際に多く破られた、しかも多くの人が 使っている危険なパスワードをランキング 形式で紹介している ▫

    https:/ /www.teampassword.com/blo g/top-50-worst-passwords-of-2019 22

23. 最悪のパスワード Top 10 ▫ 1 - 123456 ▫ 2 -

    123456789 ▫ 3 - qwerty ▫ 4 - password ▫ 5 - 1234567 ▫ 6 - 12345678 ▫ 7 - 12345 ▫ 8 - iloveyou ▫ 9 - 111111 ▫ 10 - 123123 23

24. さすがにひどい ですね・・・ 万一今日参加してる人の中でこれに該 当するパスワードを使ってる人がいたら ・・・ この勉強会が終わったらすぐに見直し ましょう！！ 24

25. 危ないパスワード 典型例 ▫ 文字数が短い ▫ 使われている文字種が少ない ▫ 数字だけ、小文字だけ、大文字だけ ▫ 本人や家族の情報から推測しやすい

    ▫ 名前や誕生日などの組み合わせ ▫ キーボードの並び順どおり ▫ 最悪のパスワード3位のqwertyなど ▫ 英単語をそのままパスワードにしている ▫ 複数サービス間で同じものを使い回し 25

26. 破られにくい パスワード ▫ 文字数が多い ▫ 許可されている最大の文字数がベスト ▫ 複数の文字種を組み合わせている ▫ 大文字・小文字・数字・記号が全部含まれ

    る ▫ 許可されている文字種はすべて使う ▫ ランダムな文字列 ▫ いかなる情報とも関連がない ▫ 特定の文字に偏っていない ▫ すべてのサイトで異なるパスワードを使う 26

27. “ いやいや、そりゃそういうパスワー ドが破られにくいのはわかるけど、 ランダムで文字数の多いパスワー ドをサービスごとに覚えられるわけ ないし 27

28. ごもっともですね これを解決できる方法があります。 後で紹介しますが、先にもう少しパス ワードについて勉強しましょう。 28

29. パスワード強度 パスワードの「破られにくさの度合い」として、 パスワード強度という用語がある。 前述の「破られにくいパスワード」の条件を満 たせば満たすほど、パスワード強度は高くな り、逆に「危険なパスワード」に該当するもの は低くなる。 29

30. Kaspersky password checker パスワードの強度や、過去にそのパスワード が漏洩したことがあるかなどを判定してくれる サービスがあります https:/ /password.kaspersky.com/jp/ 30

31. Kaspersky password checker 31 最悪のパスワード1位の 「123456」の結果→

32. Kaspersky password checker 32 8文字の大文字・小文字・ 数字混在のパスワード 「W4Qbi9GM」の結果→

33. Kaspersky password checker 33 20文字の大文字・小文字・数字・ 記号混在のパスワード 「&a6VHZbo9^G2sviyw#7F」の 結果→

34. 念の為の注意 ▫ このKaspersky password checkerを運営する Kasperskyという企業は、世界的に有名なセキュリ ティ会社で、まず信用してよいとは思いますが、そ れでも実際に自分が使用しているパスワードを打 ち込むことは念の為避けたほうがいいかも知れま せん。

    ▫ このサイトでは、「パスワードを収集していないから 安心して使ってください」という旨のことは書いては いますが、利用は自己責任でお願いします。 34

35. Agenda ▫ ID/パスワードの基礎知識 〜認証について〜 ▫ 認証が破られると何が起きる？ ▫ こんなパスワードは危ない！ ▫ 攻撃者の手法

    ▫ セキュリティを高める多要素認証 ▫ パスワードをどう管理すればいいのか ▫ まとめ 35

36. 攻撃者の手法

37. 実際にはどうやって パスワードが知られ てしまうのか ▫ 認証を突破するための手法はいくつも存在する ▫ 時代とともに主流となる手法も移り変わる ▫ 代表的なものを5つ紹介 ▫

    Brute Force / 総当たり攻撃 ▫ Dictionary Attack / 辞書攻撃 ▫ Man in the middle / 中間者攻撃 ▫ Fishing / フィッシング ▫ List Based Attack / リスト型攻撃 37

38. Brute Force 総当り攻撃 ▫ パスワードの文字列を総当り的に試行してログインを 試みる攻撃手法 ▫ aaaa, aaab, aaac

    … という感じでそのサービスで 許可されるパスワード文字列の存在しうる組み合 わせすべてを試していく ▫ 古典的だが、今でもそれなりに使われている ▫ 人間がキーボードで打ち込むのは時間がかかるが、 プログラムが実行すれば短い時間で多くの試行が可 能 38

39. Dictionary Attack 辞書攻撃 ▫ Brute Forceの亜種 ▫ 総当り的に施行するのではなく、パスワードとして 使われやすい文字列を順に施行する攻撃手法 ▫

    弱いパスワードを使っている人の認証をBrute Forceよりも効率よく破ることができる 39

40. Brute Force Dictionary Attack サービス側で 取りうる対策 ▫ 同一IDで一定回数パスワードを間違えたら、一定時間 そのIDでのログインを制限する ▫

    試行にかかる時間を大幅に伸ばせるため、対策と して有効 ▫ しかしパスワードを固定し、IDを総当りする Reverse Brute Forceという手法が生まれた ▫ 同一IPアドレス(アクセス元の住所のようなもの)から短 時間で多くのログイン試行があった場合に、そのIPアド レスからのログインを一定時間制限する ▫ IPアドレスを散らしてアクセスすることで回避でき てしまう 40

41. Brute Force Dictionary Attack ユーザ側で 取りうる対策 ▫ 強度の高いパスワードを使う ▫ 文字数が多ければ多いほど

    ▫ 使われている文字種が多ければ多いほど ▫ 総当りで答えにたどり着くのに時間がかかる ▫ 通常、攻撃者は強いパスワードを破ることを目的 にはしておらず、弱いパスワードを使っている人 を狙い撃ちする ▫ 他の人と決してかぶらないパスワードを使う ▫ 一度どこかで誰かが漏洩させたパスワードは以 後Dictionary Attackの標的になる 41

42. Man in the middle 中間者攻撃 ▫ ユーザが入力したIDやパスワードを、通信を傍受す ることで盗み取る攻撃手法 ▫ インターネットの通信は、その仕組み上、簡単に傍受

    することができてしまう ▫ 通常は、傍受されても問題ないよう、通信内容を 「暗号化」することでサービスと利用者以外の第 三者には内容が分からないようにして対策する ▫ 近年は公衆Wi-Fiサービスを経由して盗み取られる 事例が多くなっている ▫ 公衆Wi-Fiサービスの多くは通信経路が暗号化 されていない 42

43. Man in the middle サービス側で 取りうる対策 ▫ 通信内容を秘匿するための暗号化の対策を取る ▫ 具体的には、https

    (HTTP over SSL)という通信 規約で通信を行う ▫ すべての通信を暗号化する ▫ 平文（暗号化されていない生の内容）での通信 を一切しない ▫ サイトによっては、httpsでもhttp(暗号化されな い通信規約)でもどちらでも参照できるようになっ ているところもあるが、「選択肢を示す」のではな く、強制的に暗号化通信をするべき 43

44. Man in the middle ユーザ側で 取りうる対策 ▫ 閲覧しているサイトのURLがhttpsになっているかを 確認する ▫

    URLバーに鍵マークが付いているか ▫ 不完全な場合は！がついたりする 44 Google Chrome Microsoft Edge

45. Fishing フィッシング ▫ 銀行やショッピングサイトなどに似せた、偽サイトへ のリンクを含むメール等を送りつけ、偽サイト上で ユーザ自身にIDやパスワードを入力させて盗み取る 手法 ▫ 古典的だが被害が後を絶たない 45

46. Fishing サービス側で 取りうる対策 ▫ ほとんどサービス側で取れる対策はない ▫ せいぜいこの程度 ▫ ユーザへの注意喚起 ▫

    実際に偽サイトを発見したら警察に通報 46

47. Fishing ユーザ側で 取りうる対策 ▫ まずメールの内容をよく見て、内容に不自然な点が ないか確認する。 ▫ 判断に迷ったら、リンクを踏む前にサービス側に問い 合わせてみる ▫

    メールに含まれているリンク先ドメインの確認 ▫ 普段利用しているサービスのものと一致してい るか ▫ 送信元メールアドレスのドメインも確認するべき だが、送信元メールアドレスは簡単に偽装可能 なので、これだけで信用はしない ▫ HTMLメールが利用されている場合、表示されている URLと実際のリンク先URLが異なる場合もあるため、 リンク先のURLもよく確認する 47

48. List Based Attack リスト型攻撃 ▫ あらかじめ、漏洩したIDやパスワードのリストを入手 しておき、その情報を使って不正アクセスを行う手法 ▫ ダークWeb（ネット裏社会）で買うなど ▫

    これまで紹介した手法とは明らかに性質が異なる ▫ これまで紹介した手法などを駆使して、すでにど こかでID・パスワードが漏洩した人を標的にする ▫ ID・パスワードを複数のサイトで流用している人 は、いろんなサイトで被害に遭うことになる ▫ 近年報道される不正アクセス事件はほとんどがこれ 48

49. List Based Attack サービス側で 取りうる対策 ▫ 多要素認証の導入 ▫ ID/パスワード以外にもう一つの要素を使ってロ グインをする仕組み（詳細は後述）

    ▫ それ以外の部分では対策しにくい ▫ なにせ本物のID・パスワードでログインしてくる わけで・・・ 49

50. List Based Attack ユーザ側で 取りうる対策 ▫ 強度の高いパスワードを使う ▫ そもそも漏洩しない努力が第一 ▫

    でも利用者以外の責任で漏れてしまう場合もあ るので、これだけでは防げない ▫ 多要素認証がサービスに導入されている場合は多 要素認証を使う ▫ 導入はされていても、利用は任意であることが 多い ▫ 同じパスワードを複数のサイトで使用しない 50

51. Agenda ▫ ID/パスワードの基礎知識 〜認証について〜 ▫ 認証が破られると何が起きる？ ▫ こんなパスワードは危ない！ ▫ 攻撃者の手法

    ▫ セキュリティを高める多要素認証 ▫ パスワードをどう管理すればいいのか ▫ まとめ 51

52. セキュリティを高める多要素認証

53. 多要素認証とは ▫ 認証にあたり、ID/パスワードだけでなく、他の要素 （ワンタイムトークン、生体認証など）を組み合わせる 認証方法 ▫ MFA (Multi-Factor Authentication) ▫

    2FA (2-Factor Authentication) 53

54. 認証の3要素 ▫ 知識要素（ユーザが知っていること） ▫ ID/パスワード ▫ 秘密の質問（母親の旧姓は？） ▫ PINコード ▫

    所持要素（ユーザが持っているもの） ▫ メールアドレスやSMSなどで送信されるワンタイ ムトークン ▫ トークンデバイス ▫ IDカード ▫ 生体要素（ユーザの身体的情報） ▫ 指紋 ▫ 顔 ▫ 静脈 54

55. 3要素のうち 2個以上を 組み合わせるのが 多要素認証 ▫ 知識要素（ユーザが知っていること） ▫ ID/パスワード ▫ 秘密の質問（母親の旧姓は？）

    ▫ PINコード ▫ 所持要素（ユーザが持っているもの） ▫ メールアドレスやSMSなどで送信されるワンタイ ムトークン ▫ トークンデバイス ▫ IDカード ▫ 生体要素（ユーザの身体的情報） ▫ 指紋 ▫ 顔 ▫ 静脈 55

56. 多要素認証の 優位性 ▫ どれか1要素だけが破られてもセキュリティは破れな い ▫ ID/パスワードと、スマホに届くワンタイムトーク ンとの組み合わせだと、ID/パスワードが漏洩し ても、スマホがないとログインできないため、不 正ログインを防げる

    56

57. 二段階認証？ ▫ 多要素認証と似た言葉で「二段階認証 (2-step Authentication」という言葉がある ▫ ログイン時にID/パスワードに加えて何らかの追 加要素を要求する認証方法 ▫ ID/パスワードの入力後に秘密の質問の回答を

    入力させるなど ▫ ログインに２ステップが必要という意味では、多要素 認証も二段階認証の一種といえる ▫ 一方、前述の「ID/パスワード」と「秘密の質問」の組 み合わせは、多要素認証ではない 57

58. これは知識要素 だけなので ID/パスワードだけよ りは強固だが 多要素認証には劣る ▫ 知識情報（ユーザが知っていること） ▫ ID/パスワード ▫

    秘密の質問（母親の旧姓は？） ▫ PINコード ▫ 所持情報（ユーザが持っているもの） ▫ メールアドレスやSMSなどで送信されるワンタイ ムトークン ▫ トークンデバイス ▫ IDカード ▫ 生体情報（ユーザ自身の身体的情報） ▫ 指紋 ▫ 顔 ▫ 静脈 58

59. ID/パスワードと 秘密の質問の 組み合わせ ▫ 不正ログインのために知る必要がある情報が増えて いる ▫ 単純なID/パスワードだけよりは、セキュリティは 高い ▫

    一方、例えばシステムに侵入されて、データをすべて 盗まれてしまったら、両方の情報が同時に漏洩する ため、不正ログインはできてしまう ▫ 多要素認証であれば、仮にデータをすべて盗まれた としても、それだけではログインできない 多要素認証はセキュリティを飛躍的に高めるので、 提供されているサイトでは積極的に活用しよう 59

60. Agenda ▫ ID/パスワードの基礎知識 〜認証について〜 ▫ 認証が破られると何が起きる？ ▫ こんなパスワードは危ない！ ▫ 攻撃者の手法

    ▫ セキュリティを高める多要素認証 ▫ パスワードをどう管理すればいいのか ▫ まとめ 60

61. パスワードをどう管理すればいいのか

62. どうやって パスワードを 管理してますか？ ▫ 記憶する ▫ 手帳やノートに手書きで書きとめる ▫ PC内のテキストファイルやExcelなどに書いて 保存

    etc... 62

63. 破られにくい パスワード （おさらい） ▫ 文字数が多い ▫ 許可されている最大の文字数がベスト ▫ 複数の文字種を組み合わせている ▫

    大文字・小文字・数字・記号が全部含まれ る ▫ 許可されている文字種はすべて使う ▫ ランダムな文字列 ▫ いかなる情報とも関連がない ▫ 特定の文字に偏っていない ▫ すべてのサイトで異なるパスワードを使う 63

64. 素朴な疑問 ▫ サイトごとにバラバラな、長くて複雑なパス ワードをどう管理すればよい？ ▫ 記憶なんて人類にはまず不可能 ▫ 手帳に書き留めるのもランダムな文字列 だと大変、書き間違いも起こりそう 64

65. こうしては いかがでしょう？ パスワードマネージャを活用しよう 65

66. パスワード マネージャとは？ ▫ サイトやサービスごとのID・パスワードを一 元管理してくれるアプリケーション ▫ ID/パスワードの保存 ▫ パスワード文字列の自動生成 ▫

    ログインフォームへの自動入力 ▫ データのクラウド管理 ▫ などの機能を備えているものが多い 66

67. ポイント ▫ 覚えるパスワードは、パスワードマネージャ自体 にログインするためのマスターパスワードのみ ▫ これを破られると全部盗まれることになるの で、頑張って複雑なものにして記憶する ▫ 各サイトのパスワードは、そのサイトが許容する 最大文字数、すべての文字種で自動生成したも

    のにする 67

68. Bitwarden ▫ https:/ /bitwarden.com/ ▫ 個人的イチオシ ▫ 知る限り唯一のオープンソースソフトウェア ▫ 製品のプログラムが公開されていて世界中

    の多くのエンジニアに監視されている →中の人が簡単に悪さできない ▫ iOS/Android/Chrome/InternetExplorerなど 多くのプラットフォームに対応 ▫ 有料プランもあるが、無料で十分使える 68

69. 1password ▫ https:/ /1password.com/jp/ ▫ たぶん一番定番（使ってる人をよく見る） ▫ 月額$2.99～ 69 Lastpass

    ▫ https:/ /www.lastpass.com/ ▫ 1passwordの次ぐらいによく見る ▫ 無料版でもそこそこ使える RoboForm ▫ https:/ /www.roboform.com/jp ▫ 歴史のあるパスワードマネージャ ▫ 複数のデバイスで利用するには有料版が必要

70. だいたい どれを選んでも ▫ 複数のデバイスから一元管理されたデータにア クセスできる ▫ PCから登録したパスワードをスマホから呼び 出すことができる ▫ セキュリティにものすごく力を入れている

    ▫ 攻撃者から見れば紛れもなく「宝の山」 ▫ それをわかっているため、セキュリティは最 重要課題として力を入れている ▫ フォームへの自動入力機能を備えている ▫ コピペの手間が不要 70

71. 利用上の注意点 ▫ マスターパスワードは必ず強固なものを設定す る。できれば多要素認証を併用する。 ▫ ここが破られると全部アウトに ▫ 多くは無料版と有料版が提供されているが、機 能の違いをよく確認する ▫

    フォームの自動入力が有料版にしかないと か ▫ 複数デバイスで使うには有料版にする必要 があるとか 71

72. パスワード マネージャを 活用することで ▫ 強度の高いパスワードを ▫ すべてのサイトでバラバラの内容で ▫ 便利に安全に使うことができる ▫

    記憶するのはマスターパスワードだけ！ 72

73. Agenda ▫ ID/パスワードの基礎知識 〜認証について〜 ▫ 認証が破られると何が起きる？ ▫ こんなパスワードは危ない！ ▫ 攻撃者の手法

    ▫ セキュリティを高める多要素認証 ▫ パスワードをどう管理すればいいのか ▫ まとめ 73

74. まとめ

75. まとめ ▫ ID/パスワードを基本とする認証について勉強しました ▫ 不正アクセスを行うための攻撃手法は多種多様であり、 日々新たな手口が生まれています ▫ パスワード強度が低いパスワードを使ったり同じパスワード をいろんなサイトで使い回すのは非常に危険です ▫

    多要素認証はセキュリティを飛躍的に向上させるため、積 極的に活用しましょう ▫ パスワードマネージャを活用して、強度の高いパスワードを 安全に管理し、できる限りの自衛をしましょう 75

76. 76 THANK S Any questions?