text.ssig33.com

created at 2012-08-07 14:11:58 UTC

ソーシャルエンジニアリングを利用したクラックへの防衛法

王道と言えるものはあまりないですが、以下二点を気をつければ防御力はそこそこ上がると思います。

1. サイト毎にログインメールアドレスを変える

一般的にパスワードをサイト毎に変更すべしというのは言われています。

そしてパスワードを忘れた際にはパスワードリマインダにサービスに登録しているメールアドレスを記入すると、リセット用のアドレスが該当メールアドレスに届くという流れになります。ここまでは一般常識です。

つまりメールアドレスが何らかの方法でクラックされいた場合、クラッカーはアカウントを乗っ取ることができます。

しかしながら、サイトに登録されているメールアドレスが分からない場合、当然上記のクラックはおこなえません。ですから、サイト毎に登録するメールアドレスを変更すればよいということになります。

具体的にはサイトに登録されるメールアドレスは GMail のエイリアス機能を使って youraccount+ランダムな文字列@gmail.com というふうにすればよいです。

しかし GMail のエイリアス機能は大量にアカウントを作成する人の常套手段でもあるため規制されている場合があります。その場合は y.o.uraccount@gmail.com などとすればよいでしょう。 GMail はアドレスの文字列のなかに . が入っていても無視して . が入っていないアカウントへのメールとして受信できます。

なおメールアドレスに関しては独自ドメインを所有している場合はより弾力的に運用できますので、そちらを検討するのもよいでしょう。

パスワードだけでなくログインメールアドレスまでサイト毎に覚えなければならないのは面倒ですが、まあそれぐらい覚えろ。

なおサイト上でのアカウント名、スクリーンネームのみでパスワードリマインダの使用が可能なサイトもあります。そういうサイトでは上記の対策は無駄です。そうしたサイトはセキュリティ上の問題があるものと見做してよいですから、使わないことを推奨します。逆に言えばサイト製作者はその点には注意が必要です。

2. Amazon を信用しない

個人的な経験からいって、 Web 経由で個人情報が流出する事例の 5 割の原因は Amazon です。この巨大サイトのパーミッションモデルは複雑怪奇で、思わぬところから情報が漏れます。

以下のように対策するとよいでしょう。

  • Amazon に住所とクレジットカードを登録しない
    • Amazon ギフト券をコンビニで買い、コンビニ受け取りをすることでこの運用が可能です
  • Amazon 専用のクレジットカードを用意し登録する
    • Kindle などを使用したい場合はそうします。 Kindle の使用にはクレジットカードが必要ですから、 Amazon に使う専用のカードを用意し登録します
    • Billing Address にはもちろん適当な嘘の住所を入力します
    • クレジットカードを登録するアカウントと登録しないアカウントを分けることはよいアイディアです

クレジットカードの番号を極力入力しない理由は、クレジットカードの下 4 ケタが Amazon から流出する事例が後を断たないからです。クレジットカードの下 4 ケタは認証情報として通用することが(比較的頻繁に)あります。

まとめ

他にもいろいろあるとは思いますが、狙われやすいのは上記のところだと思うので、ここを少し塞ぐだけでもだいぶ効果があります。