【サイバーセキュリティ月間】ラブライブ!サンシャイン!!のコラボで発表された9つの標語を現役ハッカーの目線で考えてみた②

2月1日から開催されているサイバーセキュリティ月間。多くのイベントやセミナーが全国各地・オンラインで開催されています。

そんな中2021年はラブライブ!サンシャイン!!とタイアップ企画も行われており注目されています。

そのタイアップ企画の中の一つに「みんなで叶えるために気を付けてほしいこと」として各キャラクター一人ひとりが計9つの標語を紹介してくれています。

今回はその9つの標語の中で2年生のキャラクターが紹介してくれている3つを現役ハッカーの目線を交えて考えていきたいと思います。

 

※関連記事
【サイバーセキュリティ月間】ラブライブ!サンシャイン!!のコラボで発表された9つの標語を現役ハッカーの目線で考えてみた 1年生編

2021年度サイバーセキュリティ月間が今年も始まります!!合言葉は「#サイバーセキュリティは全員参加」 

 

※公式サイト

サイバーセキュリティ月間公式ホームページ(外部サイトに移動します。)

ラブライブ!サンシャイン!!公式ホームページ(外部サイトに移動します。)

パスワードは長くて複雑にしよう

現在は、様々なサービスがインターネット上で済ますことができる時代です。多くの方も複数のWebサービスを普段から使用していると思います。
 
ブラックハッカーたち攻撃者は、そういったWebサービスに登録されている個人情報を盗み、悪用しようとしてきます。その際、悪い人が突破しようとしてくるのが「パスワード」です。
 
パスワードが短い、簡単(誕生日など類推されやすいもの)なものを設定していると、「総当たり攻撃」というすべての文字の組み合わせを試す方法で簡単に突破されてしまいます。
 
また、単語(固有名詞)を設定していると、「辞書型攻撃」というよくある単語を試す方法で簡単に突破されてしまいます。
 
さらに、いろんなサービスで同じパスワードを使い回していると、もし他のサービスでパスワードが流出してしまったとき、「リスト型攻撃」という流出したパスワードを試す方法で簡単に突破されてしまいます。
 
パスワードが破られないためにも、英数大文字小文字、記号を混ぜて10桁以上でかつ、攻撃者に類推されないこと、他のWebサービスと同じものを使いまわさないこと、が重要です。

現役ハッカーの目線

パスワードは長く複雑にしましょう。

良く耳にしますね。でもとても大事な事です。パスワードはネットワーク上の自分の情報を守ってくれる鍵です。この鍵を知られてしまうとなんでも出来てしまう可能性があります。

長くて複雑なパスワードにしてしまうと覚えられないという方も多く単純な物にしてしまいがちです。しかし、短い物してしまうと前述したとおりすぐに特定され意味のない物になってしまいます。

単純なパスワードを解読するのはさほど難しいものではありません。ブラックハッカーたち攻撃者はパスワードを特定するための自動ツールを使用します。自動ツールを使用すれば物の数時間・数分で特定することが可能になります。ブラックハッカーたちにとって単純なパスワードほどありがたい物はありません

では、どのように特定されにくく、尚且つ覚える事が出来るパスワードを設定すればよいのでしょうか。

私は、自分だけが分かる方法に則ってパスワードを設定しています。例えばある単語を反対から記述して尚且つ1文字ごとに数字・記号を交えるのようパスワードにしています。(「baseball」であれば「llabesab」。そして1文字ごとに数字・記号を挿入「l9l8a7b6e5s4a3b@」のような感じ。)はたから見ればランダムな数字に見えます。しかし、自分だけが分かる規則に則っているためキーワードさえわかればわかります。

このように少しの工夫で長くて複雑なパスワードを設定することは容易です。このようにすることでパスワードを特定されることを防ぐことが出来、快適にwebサービスを利用することが出来るでしょう。

 二要素認証を導入しよう

自分のアカウントが攻撃者に狙われた場合、パスワードが破られアカウントが乗っ取られてしまうことがあります。そうならないための対策として「二要素認証」という方法があります。
 
要素には「あなたしか知らないもの(例:パスワード)」「あなたしか持っていないもの(例:スマホに届くショートメッセージ)」「あなた自身を表すもの(例:指紋)」の3つがあり、そのうち2つの要素を使って認証させる方法を「二要素認証」と呼びます。
 
ブラックハッカーたち攻撃者にとってパスワードだけでなく、あなたのスマホや指紋まで奪うことは困難です。利用しているwebサービスで二要素認証が設定できる場合は積極的に導入しましょう。

現役ハッカーの目線

二要素認証。最近耳にし始めましたね。

あまり知らない方も多いのではないでしょうか。前述しているようにパスワードだけでなく、もう一つ鍵をかけるような感じです。

二要素認証を導入することでどちらかと一方が分かってもアカウント情報などを守る事が出来ます。

最近のwebサービスでSMSなどに認証コードを送り、二要素認証として利用されているものを多く見かけます。

このように二要素認証としてSMSが普及したことなどを理由にSMSを利用した攻撃も増えてきています。

SMSに届いた認証コードをフィッシングサイトに入力させて二要素認証を突破するような攻撃になります。

しかし、このように二要素認証を設定されていればパスワードだけでなくもう一つの鍵も搾取する必要があるためブラックハッカーたち攻撃者も攻撃を行うのが面倒くさくなる為攻撃を控えるようになるでしょう。

抑止のための二要素認証。とても効果的で重要なものになりこれからのスタンダードになっていくでしょう。

フィッシングサイトに注意しよう

フィッシングサイトとは、本物のサイトのふりをして個人情報や金銭を盗もうとする偽サイトのことです。
 
フィッシングサイトには、本物の企業や組織を騙ってかつ判断を急がせる内容のメールやSMSから誘導させる場合が多いです。
 
最近のフィッシングサイトは特に画面上では本物のサイトと見分けがつかないほど精巧に作られているため本物か偽物かを見抜くのは困難になっています。
 
また、スマホからアクセスする場合は、URLが見にくかったりするので見抜くのはさらに困難になります。
 
本物か疑わしい場合はサイトのアドレスのドメイン名(〇〇.co.jp)が怪しいものではないか(例えば見慣れない国の末尾文字になっていないかなど)を確認したり、ブラウザのアドレスバーの表示(「安全ではありません」などの警告・注意喚起など)を確認するようにしましょう。
 
また最近のフィッシングサイトのURLの大半が「https」化されていますので、「https」だから本物のサイトだと判断しないようにしましょう。
 
本物のサイトにアクセスするには、不審なメールに記載されているリンクから行くのはやめ、ブラウザから自分で正しいサイトにアクセスしたり、事前に正しいサイトをブックマークに登録してアクセスする、公式アプリを利用するなどを行うようにしましょう。

現役ハッカーの目線

フィッシングサイトに注意しよう。

2019年頃からフィッシングサイトの被害報告や相談件数が急増しています。

2020年は新型コロナウイルスによって通販を利用する人が増え為、倍増です。

近年のフィッシング詐欺は入口のメールやSMSの内容が非常に精巧にできています。以前は不自然な日本語であったり文字化けしているなどすぐにフィッシングメール詐欺であると判別することが出来ていました。また、迷惑メールのフィルター機能の向上により、フィッシングメール自体が少なくなっていました。

しかし、近年ではしっかりとした日本語や本物のメールと全く同じようなデザインでそっくりなフィッシングメールになっており見分けがつかなくなっています。また、迷惑メールフィルターに引っかからないような工夫もされてきています。

フィッシングサイトも非常に丁寧な出来になっており、専門家でも見分けるのが難しくなってきています。また、ドメインなどもほとんど同じようなものを利用しており注意深く見なければ分からなくなっています。

ブラックハッカーたち攻撃者にとってフィッシングは非常に簡単に行うことのできる攻撃と言えるでしょう。

現状、ダークウェブではフィッシングで使用するプラットフォームが格安で販売されています。これらを利用することでブラックハッカーの新人も簡単にフィッシングを行うことが出来るような仕組みが出来上がっています。

フィッシングは進化しています。メールやSMSのリンクがフィッシングである可能性を考えて利用しましょう。

※関連記事

【現役ハッカーが語る】フィッシングメール詐欺とは?? ~現状や有効な対策を知って適切な対応を~

狙われるのは組織・企業だけじゃない!!個人にも忍び寄るサイバーセキュリティの脅威!! ~SMSを利用した詐欺の手口と対策!!~