アナログ
RSS  

いつだってねらわれるのはカモから2009/07/20 21:44

カモになる人ってのは、自分は大丈夫と根拠のない確信を持っていて、いろんなところに潜んでるから怖い。

こういうカモな人達は教育しても「確信」しちゃってるので効果がない。メールの予防接種の効果のない人達みたいなもの。困った話です。

Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した - TechCrunch Japan
これはじっくり読んで欲しいなと思うのですが、長いのでいくつかピックアップしてみました。

検索エンジンとウェブ・サイトを利用してターゲット企業の情報を丹念に収集することからHacker Crollの攻撃の最初の一歩は始まる。Twitter攻撃に際しても、公開情報から名前とメール・アドレス、社内での職務などを含む、社員リストを作成したのを手始めに、Twitter社の詳細なプロフィールを作成していった。社員の生年月日、ペットの名前といった一見無害なプライベート情報も収集され、記録された。社員に少しでも関連ある情報を求めて数百万のページが検索された。
つい世間話や身の上話で書いてしまいそうな事柄をパスワード関係にもちいちゃダメです。
まして、パスワードが「password」だったなんて最低最悪ですw

個別に見れば理屈ではそこそこ安全なサービスも、ユーザーがすべてのアカウントに同じパスワードを使い始めることによって安全性はたちまち危殆に瀕することになる。
よくある話w

Gmailにはパスワードを忘れた場合、パスワードをリセットできる機能がある。このとき、ユーザーは身元を認証するためにいくつかの秘密の質問に答えなければならない。
「秘密の質問」の答えが設定できますけど、素直な答えを設定しちゃダメです。
基本は「合い言葉」。「山」と問われれば「川」と答えるように、「誕生日」には「免許の番号」を設定するくらいひねりましょう。(もちろん番号は絶対ネット上に書かないこと)

読者も自分のメール・アーカイブで自分のパスワードを検索してみるとよい。意味が分かるはずだ。Crollは、メール・アーカイブからこのユーザーがよその多数のサービスで使っているパスワードを発見し、Gmailのパスワードをそれにリセットした。
私もメール・アーカイブにパスワードを見つけられました。もちろん、使ってるパスワードはそれと異なりますから見られても困りませんw(いつサービス登録したか分かるように残してたのですけど、万が一の時の攪乱にもなるなぁ)


攻略方法の基本はいつも変わらないのですねぇ……検索サービス(Googleとか)がなかった頃は(レベルの低いハッカーは)「ゴミあさり」からだったと言われてましたけど、ずいぶんスマートwな世の中になったものです。