読者です 読者をやめる 読者になる 読者になる

ゆきばた

ゆきばたの果てしない戯言

注意!ハッキングの方法とプライベート画像流出の事例

たわごと WEBの仕組みを簡単に

 

コンピュータに支配されていると言っても

過言ではない現代で

もっとも驚異的な存在の1つがハッカーです。

 

f:id:yukibata:20160522193630j:plain

 

みなさんもハッキングというフレーズを一度は

聞いたことがあると思います。

 

そんなハッキングについて

ハッキングの方法とはどのようなものか

そもそもハッキングとは何か

プログラムなどのコンピュータに詳しくない人向け

今回からシリーズ的にお伝えしていきたいと思います。

 

初回である今回は、最近起きた

芸能人のプライベート画像が不正に流出

問題になったニュースを取り上げます。

 

長澤まさみ、武井咲などのプライベート画像流出事件

 

(敬称略)

今回は、プライベート画像流出についてです。

とある長崎県の会社員によるハッキング行為によって

長澤まさみ、武井咲、北川景子、紗栄子などの

プライベート画像が流出しました。

 

Facebookなどへのログインもされたようですが、

今回は、プライベート画像の流出に焦点を当てます。

 

なぜ画像が流出したか(iCloudとは)

 

iCloudというものをご存知でしょうか。

少し前までは、パソコンにある画像はそのパソコンを

起動しなければ見ることが出来ませんでした。

ケータイで撮った写真も、そのケータイでしか

見ることが出来ませんでした。

 

しかし

「いつでもどこでも」という思想のもと、

インターネット上の自分だけが管理できる領域に

そういった写真をアップロードしておくことで

スマホで撮った写真を自宅のパソコンなどで

見ることが出来るようなサービスが誕生しました。

これをクラウドサービスと呼びます。

 

f:id:yukibata:20160522193822j:plain

 

様々な企業がそのようなサービスを提供していますが

iPhoneやMacを開発しているアップルという会社が

提供しているサービスが最も有名で

一般にiCloudという名前で呼ばれています。

 

今回の事件は

このiColoudというサービスに犯人が侵入したことで

プライベート画像が流出してしまったのです。

 

IDとパスワードの役割

 

インターネット上で自分だけが管理できる領域

と書きましたが、

どのようにして自分だけが管理できることを

実現させているのでしょうか。

 

それは、IDとパスワードです。

IDは、全世界でその人だけに割り振られるものです。

パスワードとセットにすることで

自分だけが管理できる領域に、

「本人ですよ」といって入ることが出来ます。

実世界で言えば、家と鍵のようなものですね。

 

ID:私の場所ですよ

パスワード:私であることの証拠を示しますよ

 

と言った感じです。

しかし、ここには問題があります。

IDとパスワードは自分だけが知らないという状態を

キープし続けなければなりません。永遠に。

 

f:id:yukibata:20160522193952j:plain

 

IDとパスワードの仕組みは古くからありますが

1つ大きな問題があります。

それは、知っていれば誰でも使えるということです。

 

今回のプライベート画像流出事件は

長澤まさみさんらのIDとパスワードを

見つけたことで発生してしまったものなのです。

 

どのようにIDとパスワードがバレたのか

 

気になるのが、どうやって犯人は彼女たちの

IDとパスワードを特定することが出来たのでしょうか。

 

決して始めから知っていたワケではありません。

 

ハッキングには色々なやり方があります

今回の件は辞書攻撃という

最も有名な攻撃手法の一つの可能性が高いです。

 

ハッキングといえば、

なにやらプログラムを操作しネットワークに侵入し

というイメージをお持ちの方もいるかもしれません。

 

もちろんそのような複雑な方法もありますが、

辞書攻撃は、どちらかというと力技の攻撃手法です。

 

辞書攻撃とはどんなものか

 

ディクショナリアタックと呼ばれることもあります。

様々なサービスを利用するためには

ログイン画面でログインをする必要があります。

IDとパスワードを入力しなければなりません。

 

そのIDとパスワードの入力欄に

予め用意していた予想のIDとパスワードのセットを

ひたすら打ち込んでいくというものです。

 

辞書攻撃の例

 

江戸川コナンという人物がいたとします

(実在する人だと問題になる可能性があるので)

誕生日が1986年5月4日だとします。

 

IDとパスワードを手に入れたい犯人ですが

まずは、IDの予想から始めます。

その際、ターゲットになりやすいのが

他のWEBサービスです。

 

f:id:yukibata:20160523221635j:plain

 

複数のWEBサービスでIDを使いまわしている人

結構いるのではないでしょうか。

江戸川コナンがTwitterやInstagramやブログを

やっているとしましょう。

 

そのときのIDが

twitter.com/conan_edo_gawa

instagram.com/conan_edo_gawa

だとします。

 

すると犯人は 、

iCloudのIDもこれかな?

と予想します。

 

そして次に、パスワードの予想です。

これはもう、勘に頼るところが大きいですが

世の中には辞書攻撃リストと呼ばれるものも

存在しています。

辞書攻撃リストの中身は

 

 password1234

 iloveyou0000

 smile2525

 tanaka1224

 

など、深く考えずにパスワードを設定する人が

選びそうなパスワードリストになっています。

 

f:id:yukibata:20160523221855j:plain

 

とういった辞書攻撃リストに、

その人っぽいパスワードを混ぜます。

江戸川コナンで例を挙げるならば

 conan19860504

 edogawa19860504

 tantei0000

などです。

 

こうしてリストが出来上がったら

iCloudのログイン画面に行き、

1つ1つ試していくのです。

 

1つずつなんて気が遠くなるなと思いますが、

自動でリストから読み込むプログラムを

書ける人にとっては、そんなに大変な作業では

ありません。

 

このようにして成功するまでゆっくりと

コーヒーでも飲みながら待てばよいのです。

 

もちろん全員に対して成功するわけではありません

推測が困難なパスワードを設定している

人にとっては無効です。

犯人は何百もの人に対してこのようなことを

行なっているはずです。

 

そしてたまたま運悪く成功してしまった人が

今回の被害に遭ってしまった方々なのです。

 

WEBサービス側も黙っていない

 

もちろんサービスを提供する側の人たちも

そんなリスクを黙ってみているわけではありません。

 

パスワードが5回以上間違ったら

30分ロックして、正しいパスワードでも

ログインできなくするという対応をしている

サービスもあります。

 

しかしながら、

根本的に全てを防ぐことはできません。

なぜなら、あまり厳しくしてしまうと、

本当にパスワードを間違ってしまった人が

使いにくくなるという負の面もあるからです。

 

WEBサービスを提供する側としては、

ただしユーザには、負担が少なく

でも悪質な人には、ハードルを高く

というバランスを保たなければいけないからです。

 

f:id:yukibata:20160523222152j:plain

 

よく、IDとパスワードがうる覚えの状態である

サービスにログインしようとしたときに

「IDもしくはパスワードが違います」

というフレーズを目にしたことがある人も

いると思います。

 

あれ、このIDじゃなかったかな・・・

と思っているときにこんなメッセージがでると

どっちが間違っているかハッキリして!

と思うかもしれませんが、

もし「IDに対するパスワードが違います」

というメッセージだと、

悪質な人にとっては

「なるほど、IDは合っているんだな」

というヒントを与えてしまうことになるのです。

 

私たちが意識しておくべきこと

 

いたちごっこのような感じが否めませんが

私たちが快適にサービスを利用するためには

ある程度の緩さが必要なのは

いまの技術では仕方の無いことです。

 

どんな複雑なIDをパスワードを設定しても

いつかは破られてしまうということを

頭の片すみに入れておく必要があります。

 

しかし、パスワードが複雑なほど

解析には時間がかかるということは確かです。

 

f:id:yukibata:20160523222340j:plain

 

バレにくいパスワードのポイント

 ・ローマ字と英数字をまぜる

 ・記号や大文字を使う

 ・サービスごとに違うパスワード

です。

 

edogawaconanというパスワードは

Twitterでは Edo8gawaconan_Tw

Instagramでは Edo8gawaconan_In

 

のように使い分けることです。

特に8のように意味不明なポジションに

全く関係ない1文字が登場することで

パスワードは劇的に強くなります。

 

時間をかければいつかはバレる

ということを念頭におきましょう。

私たちは、その時間を引き延ばすような

破りにくいパスワードを設定するひと手間

忘れないようにしましょう。

 

忘れて再発行する手間と

不正にログインされる被害を天秤にかけて

パスワードを決めていきましょう。

 

 

おわり

 

 

[ImageFrom]
http://null-byte.wonderhowto.com/how-to/advice-from-real-hacker-protect-yourself-from-being-hacked-0157218/
http://www.slideshare.net/defconmoscow/3i-cloud-keychain2
http://technolochicas.org/News/2015/11/20/hacking/
http://en.rocketnews24.com/tag/sns/
http://www.pcdatasecurity.com/choosing-a-good-password-and-keeping-it-safe/
http://www.economist.com/blogs/buttonwood/2016/03/brexit-debate
https://www.backgroundcheck.org/7-things-you-should-know-about-online-passwords/