あなたがセキュリティで困っている理由 -パスワードの使いまわしは危険

あなたがセキュリティーで困っている理
        辻伸弘著 日経BP

今日はセキュリティの本を紹介します。
「あなたがセキュリティで困っている理由」

佐川急便がフィッシングの標的に!

2018年7月に佐川急便をかたるフィッシングが行われました。

「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください」というショートメールが多くの人に届きました。

そこに記載されているURLをクリックすると、佐川急便のサイトにそっくりなフィッシングサイトが開き、sagawa.apkというファイルがダウンロードされます。ユーザーがこのファイルをインストールしてしまうと、スマホ内の情報を外部に送ったりフィッシングメールを送ったりします。

佐川急便のサイトのドメイン名は、sagawa-exp.co.jp です。それに対して、フィッシングメールのドメイン名は、sagawa-or.jp でした。

他にも、佐川急便の偽サイトはたくさんありました。200件以上あったそうです。例えば、

  • sagawwa-exp.com
  • sagawa-exprress.com
  • saggawa-express.com
  • sagawa-eexpress.com
  • saagawa-express.com
  • exp-sagawa.com

→うわぁ、まぎらわしいサイトがたくさんありますね。私はうが来たときに、送り主のアドレスやリンク先のURLを見て怪しいものは削除しています。でもこんなまぎらわしいドメインだと、ついクリックしてしまいそうで心配です。

JALが350万ドルの被害 -ビジネスメール詐欺

日本航空(JAL)は、2017年12月にビジネスメール詐欺によって350万ドル(約3億7000万円)を搾取されました。ビジネスメール詐欺には次のようなものがあります。

  • A社とB社の決済に関するやり取りを盗聴し、タイミングを見計らって偽の請求書を送って自分の口座に振り込ませる
  • 経営者になりすまして支払いを指示する
  • 取り引き先のメールアカウントを乗っ取って支払いを請求する
  • 顧問弁護士や法律事務所になりすまして支払いを指示する

また、まぎらわしいドメインでだますというのもあります。「m」の代わりに「rn」、「w」の代わりに「vv」などに置き換えた偽ドメインのメールアドレスを使うものもあります。

→まぎらわしいドメインというのは、老眼になるとmとrnの区別もできなくなります。そんなときには、ハズキルーペの出番かな?!

パスワードを覚えられない

以前は、パスワードは定期的に変更しろというルールになっているところが多かったのですが、最近では定期変更は不要と言われることも多くなりました。

パスワードの定期変更が強制されると、ユーザーは複雑なパスワードをいくつも覚えておけないため、最後の1文字の数字だけを1,2,3と変えていくようなパスワードを設定します。そしていろいろなサイトでパスワードを使いまわすようになります。

下1桁だけの変更ではセキュリティ的にあまり意味はなく、またなによりパスワードの使いまわすことが危険になります。パスワードの使いまわしを助長するなら、定期変更を強制しないほうがよい、ということになりました。

→たしかにそうです。複雑なパスワードをいくつも覚えられないので、パスワードを使いまわし、変更を強制されると最後の数字を1増やす、ということはやりがちです。

→パスワードの使いまわしによって、弱いサイトから盗まれたIDとパスワードで、他のサイトを乗っ取られてしまいます。気を付けないと。

勉強になりました。

「あなたがセキュリティで困っている理由」


最近、新しい講座をつくりました。

「50歳からのエクセルプログラミングマンツーマン特訓」

「働かないおじさん」と呼ばれるんじゃないかと心配してるアナタ。エクセルプログラミングのスキルをつけて、もう一花咲かせてみませんか。

これは覚悟を決めた人向けの特訓コースです。詳しくはこちらをご覧ください。

通常のVBA個人レッスン講座はこちらです。少人数講座は1月は東京で行います。