セキュリティ・エグゼクティブ・ディレクター中島浩光
さて、SNSアカウントに関する4回目です。今回は、アカウントの乗っ取り対策についてちょっと書いてみます。乗っ取り対策のことを書く前に、どうやってアカウントを乗っ取るのか、その手口について書いてみます。
手口①~ログイン情報の不正入手
SNSアカウントにログインするには、一般的にはログインIDとパスワードがあれば入れますが、その情報を犯人が入手されてそれを利用される、というものです。
どうやって、それを入手するのか?ということですが、同じログインIDとパスワードを他のSNSアカウントやその他のサイトで使いまわしている人は結構な数がいるため、他のサイトで流出したログイン情報を使って乗っ取られる場合があります。
また、パスワードとして脆弱なパスワード、例えば「01234」とか「qwerty(キーボードの左上から順に横に6文字)」などを使っている場合、それらのパスワードを固定してログインIDを適当に変えてアタックするといった攻撃手法もあったりします。
また、PCにキーボードの入力情報を不正取得するコンピュータウィルスを感染させて、入力されるログイン情報を入手する、などいった方法などがあります。
手口②~ログイン情報のリセットを悪用する方法
もう一つは、ログイン情報のリセットを悪用する方法です。ログイン画面等で「パスワードを忘れた場合はこちら」といったようなリンクを見たことがあると思います。これは、ログインパスワードを忘れてしまった利用者向けに、パスワードの再設定を行う機能なのですが、攻撃者がこの機能を悪用してパスワードを再設定してしまうと、再設定したパスワードを利用してアカウントを乗っ取ることが可能になります。
最近はあまり見かけなくなったのですが、パスワードの再設定方法として「秘密の質問」を使用しているサイトの場合で、例えば「出身小学校の名前は?」という秘密の質問があるとします。で、正解を入れるとパスワードの再設定が出来るわけですが、SNSによってはプロフィールの一部に出身小学校を登録していたりすると、「秘密の質問」といいつつ検索するとその情報が出てきてしまう、という状況になっていたりします。他にも「愛犬の名前は?」といったような秘密の質問だと、SNSに愛犬の写真とか投稿して、愛犬の名前も本文に入れていたりすると、回答が分かってしまったりする場合があります。
パスワード再設定の方法によって、攻撃の仕方は違いますが、この機能を悪用して乗っ取るケースがあります。
手口③~おまけ:スマホ/PCの無断使用
「おまけ」ですが、スマホやPCで画面ロックを設定していない場合、スマホが盗難にあう、机の上に置いておいたスマホを友達が勝手に使う、PCをログインしっぱなしで離席した際に勝手に使われる、といったことも、当然ですがSNSアカウントの乗っ取りに繋がります。
スマホのアプリの場合、スマホの画面ロックが解除できれば、アプリ起動時にパスワード等を入れることが通常はないため、勝手にSNSに投稿することは可能ですし、さらには②のログイン情報の再設定も実は簡単に行うことが出来てしまったりします。
さて、ここまでは乗っ取りの手口ですが、前回のコラムで
『そのため、運営側は「アカウントの乗っ取り」を「パスワード以外でいかに防ぐか」「いかに発見するか」「いかに元に戻すか」を考えるわけです。』
と書いたので、運営側の防ぐ方法を見てみましょう。
防ぐ方法~パスワード以外でいかに防ぐか?
手口①として紹介した「ログイン情報の不正入手」への対策となるのですが、ログイン時にログインIDとパスワードという情報だけでなく、違う情報を利用、もしくは、追加して防ぐ方法です。
代表的なものは主要なSNSで採用されている二段階認証になります。これは、ログイン時にID/パスワード以外に、使い捨ての短い有効期限付きの認証コードと言われる数字や文字列をスマホにショートメッセージ等で送り、正しい認証コードが入力されないとログインが完了しない、というものです。この場合、認証コードが攻撃者に有効期限内に盗まれない限り、乗っ取りが成功しないことになります。
また、それ以外にもそもそもパスワードを利用せず、セキュリティキーと言われる小型のハードウェアを利用してログインさせる方法などもあったりします。
これは、パスワード以外で「利用者本人であることを確認できる情報」を確実に取得するにはどうするか?ということをやっています。スマホに認証コードを送る方法の場合、「スマホは本人以外使っていない」という前提に基づいています。また、最近では認証コードではなく指紋認証等を利用可能なSNSもあるようです。
これらの手法は、パスワードに比較すると、「他人による不正がしにくい」方式を採用しているわけです。
防ぐ方法~いかに元に戻すか?
手口②として紹介した「ログイン情報のリセットを悪用する方法」への対策となります。主にパスワードのリセットをする場合に、「リセットしようとしている人が本当に本人なのか?」をどうやって確認するか?が重要になります。
多くのSNSでは予め登録したメールアドレスやスマホのショートメッセージに対して、再設定用のURLを送付する方法が一般的です。これも、「予め登録されている電子メールやショートメッセージを読むのは本人しかいない」という前提での方法です。
さらに、再設定用のURLにおいて、予め登録したプロファイルの情報を入力させて確認したり、電子メールでURLを送る+ショートメッセージでの認証コード等、本人であることの確かさを高めるようになっています。
防ぐ方法~いかに発見するか?
さて、最後に「いかに発見するか?」ですが、アカウントへの乗っ取り(もしくは、乗っ取りの兆候)を早く発見して、アカウントを乗っ取り犯から取り返すために、どうやってアカウントの乗っ取りを発見するか?が重要になります。
多くのSNSで設定可能な方法として、メールによる通知があります。
これは、「パスワードが変更された」、「今までとは違う端末からログインされた」等のことがあると、予め登録されている電子メールや、スマホのアプリに通知が届く、というものです。
このような通知があり、利用者本人が「これはおかしい」と思った場合に、早く対応する(パスワードの再設定等)を行うことにより、乗っ取り犯による不正利用を防ぎ、乗っ取られた状態からアカウントを取り戻すことが可能になります(場合によっては、運営に連絡してアカウントの一時凍結を行う必要がありますが)。
「当たり前」を作るにはどうするか?
ということで、SNSのアカウントの乗っ取りへの対策を運営側も提供していたりするわけです。しかし、現状それらの機能を利用するかどうかは強制ではなく利用者の選択による場合が多い状況です。そのため、結局は利用者次第という状況になっているわけです。
その意味で、こういった機能を使うのが「当たり前」という状態をどうやって作るか?が業界としての課題なのかなぁ、と思っていたりします。
さて、4回目も長くなってしまいましたがSNSアカウントの話はこれにて終了です。次は何を書こうか?