スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

LINEのアカウント乗っ取られました^^

有給を頂いて渋谷、原宿、表参道付近をぷらぷらしながらTwitterを開いていたところ、通知が20件ほど溜まっていました。

何事かと思い開いてみると、LINEが乗っ取られていると教えてくれる数々のリプライが。




BuVflp0CUAEvgL6.jpg
中国人の友人が交戦してくれてる様子。




BuVfhF9CEAAHR6X.jpg
パスワードは既に変更されてしまっており後の祭り。



最悪なことに会社ケータイを自宅においてきたため、会社関係の人には全く乗っ取られたことを警告出来ませんでした。

一番引っかかりそうな家族と親類にだけ直接電話で連絡して、あとはFacebookとTwitterでの周知。

正直、誰が友達登録してたか分からないし、電話帳は面倒くさくて大体消してるのでみんなに何もお伝え出来ない。





BuWmEb8CEAAInHq.png
仕方なく再登録。妖怪ぼっち。




BuWoK6zCEAEtIJp.jpg
こちらが新しいアカウントになります。




今回のアカウント乗っ取り経路に関しては、本当に経路の特定が難しい。

私自身、こういうセキュリティ関係の被害は初めてだったので、2次パスワードを使用していなかったのが痛かったです。

とは言え、様々なウェブサービスで同様のメールアドレスをパスワードでログインを試みたらいくつかのネットゲームや、なんとamazonにも同様の情報でログイン出来ました。

慌ててamazonで注文履歴を確認して被害が出てないことを確認して慌ててパスワードの変更を実施。

同じメールアドレスとパスワードで他ウェブサービスに不正ログインされてたらアウトでした。

100万円の指輪とか買われた日には・・・ウッ

LINEはせいぜいスタンプを買うために2000円程度課金したくらいなのでまだダメージは少ないです。。。
※別アカウントからのログインなので会話のログとかも見られないと思いますし。





私のセキュリティ管理体制について。



PC自体は数ヶ月前にWindows8.1Proをインストールし、その後は怪しげなソフトを全くインストールしておりません。

セキュリティソフトもフリーのものですが入れており、xvideos程度しかいかがわしいサイトは見てない・・・ハズ。

PCからのトロイの木馬、キーロガーや中間者攻撃は考えづらいです。




パスワード自体の管理体制について



こちらはソルト方式を採用しております。

どうでもいいサービスのパスワードはいつも使用する固定の数字列。

ここでは仮に1234とします。

少し乗っ取られたら面倒なサービスには固定の英字列をソルティングしてあげます。

例えばソルトをabcとすれば、1234abcのようなパスワード。

そして、LINEやamazon等、乗っ取られたら非常に厄介なサービスにはさらに記号をソルティングします。

1234abc#のような具合に。




原因と対策



流出経路の特定は確かに困難ですが、重要なのは経路ではなく原因。

リスクごとに重み付けしてソルティングするところまでは概ね大丈夫でしたが、同レベルリスクのアカウントは同じパスワードが使用されていたので、IDやメールアドレスが被ると単一障害点になるという絶望的なデメリットがありました。

今後は対策として、同レベルリスクのウェブサービスにて同一パスワードが重複しないようにする必要があります。

ウェブサービス名を固定ソルトとして採用したいと思います。

例えば基本数字列を1234とすれば、乗っ取られてもどうでもいいネットゲームなんかの捨てアカウントのパスワードは「1234suddenattack」と言った具合に。

乗っ取られたら非常に面倒なlineやamazonなどのアカウントは「1234abc!#amazon」「1234abc!#line」のようなパスワード管理とします。

当然、実際に運用に使用するソルトの位置や種類は上記とは異なります。

この運用の場合、考えうる弱点が2つほどあります。

1つ目はキーロガーや中間者攻撃を始めとする私個人へのクラッキング行為。

2つ目はいずれかのウェブサービスがパスワードを平文管理していて、それが流出した場合(悪用する意図で平文管理してるサーバも然り)



1つ目のクラッキング行為に関しては、PCの健全な環境・使用方法に努めるしかありません。

2つ目の流出パターンだとソルトが割り出される可能性があります。

実際には攻撃者は数千数万というリストの中から一つ一つのパスワードの命名規則の割り出しなんてしないと思いますが、こちらに対してはストレッチングが有効です。

ストレッチングではWebサーバに自身が使用したいパスワードが保存される前に、先に自分自身でハッシュ化してしまいます。

従ってWebサーバに登録されるのはハッシュ化されたパスワードのハッシュ値となります。

ストレッチングは複数回ハッシュ化することができるので、数万回ほどストレッチングしてあげれば、レインボーテーブルを防ぐ確率を上げることが出来ます。

しかしこれはスマートフォンで気軽にパスワード入力ができなくなってしまうのでPCからしか使用しないウェブサービスに絞る必要がありそうです。

ストレッチングを使用するウェブサービスは吟味しないと面倒くさすぎるので、使用の如何に関しても要検討と言ったところですね。

この土日は用事があったので全然パスワードの変更が追いついていませんが、徐々に全部のウェブサービスでパスワードの命名規則を変更していきたいです。

コメントの投稿

非公開コメント

プロフィール

ゆうじ

Author:ゆうじ
社会人1年目〜4年目:インフラエンジニア
社会人5年目〜   :セキュリティエンジニア

ほぼネットワーク屋でした。


[保有資格]
運転免許
漢字検定準2級
パスコンスピード検定1級
ITパスポート
基本情報技術者試験
応用情報技術者試験
Comptia A+
CCENT
CCNA
CCNP
MCPC2級
VCP-DCV 5.5
LPIC Level1
LPIC Level2
LPIC Level3core
LPIC Level3mixed environment

パズドラランク950↑

サドンアタック
中佐:シコ星
W/L 46% K/D54%
少佐:尿イエロー
W/L 50% K/D 56%
少尉:ケツアゴに挿入
W/L 100% K/D77%


メイプルストーリー(笑)
柳)195メカニック
柳)180台DS
柳)178DS
現在持ってるキャラはこの3つ

柳)140台?投
キャラ名:ちnこ
売り済み、現在行方不明





mixi→id=19488862
Skype:yuuzi.kab
Twitter:gosloli
Instagram:yuuzikab










月別アーカイブ
カテゴリー
ブログの更新率
Twitter
リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。
.key { margin: 0 3px; padding: 1px 6px; border-radius: 3px; border: 1px solid #E0E0E0; border-bottom-width: 2px; background: #F0F0F0; background: -ms-linear-gradient(top, #F0F0F0, #FCFCFC); background: -moz-linear-gradient(top, #F0F0F0, #FCFCFC); background: -webkit-gradient(linear, center top, center bottom, from(#F0F0F0), to(#FCFCFC)); background: linear-gradient(top, #F0F0F0, #FCFCFC); font-family: Arial}