唯々諾々 (しません)

冷静な議論ができる方からのマサカリは大歓迎です。

乗っ取り等を防ぐためのセキュリティ覚書 (初級)

この記事で特定の人を責める意図は一切ございません。セキュリティにはある程度個人の自助努力も必要ですが、一番悪いのは攻撃した側です。

 

最近ハンドメイド界隈その他でTwitter等の乗っ取りが増えているようである。今までも偽アカウントやプレゼント企画に乗じてのDM個人情報聞き出しはあったが、今回は本来のアカウントを乗っ取られる被害が出始めているようである。自分のアカウントをそのような犯罪の温床にしないために、いくつか個人でできる対策がある。

1. パスワードは推測されづらく、できる限りランダムなものを作り、違うサイトで使い回さないようにする。可能ならば紙ベースのみで確実に保存する。ブラウザに保存しない。

言わずもがなではあるが、実際これが一番難しい。私もぶっちゃけサボってChromeに覚えさせている。が、クレカやインターネットバンキング、その他仕事で重要なアカウントだけでも徹底する価値はある。大切にしてる本のタイトルや好きな一節をローマ字書きにするのも長さを稼いで覚えやすくする点では良い方法である。ただし推測されづらくすることをお忘れなく (月が綺麗ですね、などは意味がない)。
私も実はPCのパスワードを大学の実習の一環で破られたことがある (PC自体は大学のものだがアカウントは個人で作っていた)。その頃は私もセキュリティ意識が低く、名前+誕生日程度のクッソ弱弱パスワードだったのだが、1週間の間に見事に破られていた。それ以降PCのパスワードはもちろん、大体のパスワードはランダム生成させるようにしている。

2. 2要素認証、特にログイン時自分の電話番号等に通知が来るタイプの2要素認証を設定する。

2要素認証とは、例えば普段のIDとパスワードに加えて登録電話番号に6桁くらいの番号が届き、それを入力するタイプのログイン方法である。この場合、パスワードが突破された段階で登録電話番号に試行がいくつか飛んでくるのが見える (もしくは攻撃者が諦める) ため、その場ですべてのデバイスからサインアウトしてパスワードを変更するなど、対応の時間が少し稼げる。
私もたまにPayPayカードにログインしようとする試行が飛んでくるが、そもそもPayPayカードは作っていない。謎ではある。

3. Twitterで占いなど遊ぶときは慎重に

私も正直バカスカ遊んでいる。フォロワーが遊んでるとマジでなんも考えずに遊んでいるが、これも注意が必要である。特に「Twitterの内容から解析」タイプの占いは「フォロー・フォロワーを見る」「タイムラインを見て書き込む」などの権限ががっつり与えられていることが多いため、さらなる注意が必要である。これは悪意のない場合もある (以下の説明参照) が、どうしても必要な場合を除き書き込み権限は与えないに越したことはない。

magical.kuku.lu

作成者が信頼できるかどうか、本当に必要な機能かなどを吟味した上で許可することが必要である。あと定期的にアプリの連携解除をすることもリスクを下げる行動である。

4. 不審な添付ファイルを開かない。「実行ファイル」というものを知っておく。Word/Excelのマクロ機能の危険性を知っておく。

LINEやDiscordなどのチャット式コミュニケーションアプリが主流となり、「メールに添付ファイルでお送りする」ことも少なくなったが、相手から送られてくるファイルやメール、URLは広い意味ですべて添付ファイルとここでは呼ぼう。添付ファイルは開いただけでアウトのもの (ウイルスを仕込むwebサーバへのURLなど) から、実行したりマクロを有効にするまで異常性を発揮しないものまで様々あるが、とにかく開かないに越したことはない。セキュリティソフトも万能ではないため、相手からはなるべく相対的に安全な方法で情報を受け取ろう (テキストメッセージや画像単体など)。
また、見てるとどうやら「zipファイルを解凍し、中にあった実行ファイル (.bat, .exeなど) を実行してしまった」という例もあるようである。まず重要なのは、オーダーメイド依頼を含む通常の業務で実行ファイルが送られてくることはまずありえないと言っていいことである。実行ファイルというのは大体アプリだと思ってもらえばいいのだが、通常のアプリケーションと違って何も表示しないまま動かすこともできる。つまり気付かれないようにウイルスなりなんなりを仕込む事ができるのである。オーダメイド依頼等にそのようなファイルが必要である可能性はほぼ0と言っていいことは関係者の皆様にはご納得いただけるだろう。
拡張子はデフォルトでは表示されないこともある。絶対に表示させよう。

www.fmworld.net


さらに、実行ファイル相当で広く流通しているものとして、WordやExcelのマクロというものがある。うまく使えばもちろん便利なのだが、うまく使えばウイルスを仕込むこともできる。マクロも実行時に特に何も表示されないことが多いので恐ろしい限りである。*1マクロ付きの文章が来た場合、必要ならば相手にマクロを解除して送ってもらうよう依頼しよう。それで不審な言動をし始めたら黒である。関係を絶とう。

news.trendmicro.com

 

これ以外にもセキュリティについては様々な攻撃手法と対応策があるが、それはそれだけで国家試験が作れるくらいあるので、一気に知ろうとするのではなく、上の4つくらいを確実に行う・知ることが重要であると思われる。

最後に、国 (経済産業省) 主導のセキュリティ支援窓口であるIPAを紹介して締めようと思う。

相談窓口のほか、不幸にして被害にあった後のご報告も広く募っています。同じ攻撃手法で仲間が攻撃されるのを防ぐべく、ご一報いただけますと幸いです。*2

www.ipa.go.jp

www.ipa.go.jp

 

*1:なんでこんな危険ファイルが幅を利かせているのか割とマジで理解できない。.txtは相対的に良いぞ。

*2:筆者とIPAの間に利益相反関係はありません