パスワード –          おやじdemo_CentOSを使う

鉄壁なサーバーも内部から・・・

 ニュース記事, 個人的な意見  No Responses »
1月 212020
 

三菱電気のサーバーが外部から侵入されて情報が漏洩した。

攻撃は防衛関連の機密情報を主に狙う中国系のサイバー攻撃集団「Tick(ティック)」が関与した可能性があるとされているが・・・。

どう考えても、重要な情報が入っているサーバーに直攻撃ではなく、内部利用者のIDを利用してサーバーに侵入し情報を送信したという流れでしょう。

そうです。

ストレートにサーバーを攻撃すればすぐに分かってしまう。総当たり攻撃で侵入しても大事な情報まで辿り着くのは困難である。辿り着いてもそのファイルを見れる権限や実行する権限があるとは限らない。

そこで関係会社含め、企業の中間管理職への水面下のメール攻撃(メールに添付等)を行い、バックドアを作り誰かのIDやパスワードを取得、なりすまして堂々とアクセスしたというのが正しいであろうと思う。

前から言っているが、どんなサーバーであっても正面突破型の直攻撃には耐えられても、内部なりすましには対処はできない。

発見まで時間がかかってしまった理由もなりすましによるものでしょう。
しかし、違ったファイルが存在している事がなぜ発見できなかったかである。

大体においてこういった大事なIDやパスワードの情報が盗まれるのがPCに疎い人たちであり、それが管理職の人たちである。

人から聞いた話をさも自分が経験したかのように話すのは上手いが、PCの技術的な事については知ったかぶりで自ら知識を得ようとしない。

そこには部下にやらせれば良いという考えがどこかにあるからだろう。

何でも人に聞いてやってもらえば良いと考える人がいる限り、このような情報漏洩は今後も続いていくだろう。

大事な情報は外部と繋がらない専用ネットワークを介して行うべきである。
しかし、これでも完全な分けではない。

PCのセキュリティに疎い管理職にはサーバーにアクセスするIDとパスワードを与えない事である。与えたとしても大事な情報にはアクセスする権限を与えない事である。

必要な場合にはPCに詳しい人にアクセスをしてもらうしかないだろう。

盗まれた情報の価値は計り知れないものがある。

安易なパスワードは変更・管理しよう!

 個人的な意見  No Responses »
1月 222015
 

2014年の最悪パスワードってご存知ですか?

最悪という表現になっていますが、パスワードになっていない文字列という事でしょうか。
誰でも思い付くような数字の順番、固有名詞です。

近年はSNSを乗っ取られたり、銀行、クレジットの暗証番号なども悪用される時代であり、サーバー管理においても簡単なIDやパスワードで侵入されたりしてしまいます。

◆使ってはいけないパスワードリスト25

1.123456
2.password
3.12345
4.12345678
5.qwerty
6.123456789
7.1234
8.baseball
9.dragon
10.football
11.1234567
12.monkey
13.letmein
14.abc123
15.111111
16.mustang
17.access
18.shadow
19.master
20.michael
21.superman
22.696969
23.123123
24.batman
25.trustno1

上記のパスワードは海外の人達のものなので、日本人の固有名詞とは少し違いますよね。
michaelってマイケルジャクソンのことか?
superman・batmanってアメリカ人?
数字については世界共通の並び順です。

日頃、自分で使用しているキャッシュカードからSNSへのログインパスワードなど、予想・予測されにくい文字列にしておくのがベストです。

しかしながらパスワードを難しい文字列、自分に関係の無い数字などにしてしまうと、今度は自分がログインできない、キャッシュカードに至っては3回の失敗で使用禁止になってしまう最悪な事態となります。

パスワードを忘れないために、パソコンのメモ帳機能を使い、デスクトップに保存している人もいると思いますが、これも良く考えると危ない。PCを乗っ取られた時点でアウトですよね。PCに保存しておくと、コピー・ペースト機能で入力する手間も省けて楽と言えば楽ですが、推奨はできません。

そうなるとアナログ方式が一番安全安心ではないでしょうか。

コンビニで安い100円くらいのノートを購入して、ページ毎にどこ銀行、どこSNSのパスワードを日付け順に書き込んでおけば良いのです。パスワードを変更したら、その日付けの下に新しい日付けとパスワードを追加しておく。

一番大事な事は、このパスワードノートの置き場所を決めておくという事です。

ノートに限らず、自分でワードやエクセルで入力フォームを作り、入力後に印刷して、ファイルに綴じておくという方法もありかと・・・。但し、その入力したワード・エクセルファイルはPCに保存してはなりません。メモ帳で保存しているのと同じ事になってしまいます。

しかし、「いざ、使おう!」と思った時に見付からないと言うのも困る。
小さな金庫がある家には、その中に保存しておくのが良いでしょう。

私の場合には、自宅サーバーの設定(postfixやdovecotなどサービスやDNS情報、メールの暗証番号など)を全て手書きのノートに保存しています。少し時間が経過して、読み直すとその時の状況が甦ってきて、何となく思い出す事ができます。

備忘録と称してネットに記載する事ができる物とできない物があるので、そこは皆さん、自分なりに工夫をして欲しいと思います。

ネットバンクに大金を置いてはいかん

 個人的な意見  1 Response »
9月 052014
 

PCユーザーの方は大抵、1口座くらいはネット銀行を持っていると思います。

このボンビーな私でさえ、JNBの口座を持っています。
何しろ、持っていればヤフオクの口座支払いも楽に済みますし、他銀行へ振替もお店に出向かなくても大丈夫です。

しかし、最近は、この楽チンさを狙った犯罪が後を絶ちません。
預金してあるお金を勝手に引き出される(振り込ませる)という手法です。

しかし、私は全然平気です。へっへっへっ!

なんて言っても、口座に残金が無いからです。じゃ~ん!
私は必要と思われる事が発生しそうな時にだけ、必要額を入金することにしています。
それ以外は、いつも1000円程度しか入っていませんから、どうなっても平気という感じでしょうか。

私のような「なんちゃって口座」的な使用であれば、大した被害にはなりませんが、多額の預金もしくは取引をするために口座を使用している人は其れなりの注意を払わなくてはなりません。

IDやパスワードはもちろんですが、取引をするパソコンをウイルスに感染させないようにする事が最も重要です。多分、「俺のパソコンにはウイルスソフトが入っているから大丈夫だよ」と思っている人が多いかも知れませんが、ウイルス情報も最新の物にしてあるかどうか?銀行やセキュリティ会社の新しい犯罪情報を読むことも必要です。

最近は、ある特定のサイトを閲覧しただけでウイルスに感染したり、銀行のホームページに仕掛けてあったりと(サーバーに侵入されている)これは絶対安心という事はありません。

また、詐欺的にIDやパスワードを登録する偽物画面もあります。
メールでも銀行名を語った怪しいメールもスパムとして配信されているので、こちらも絶対にアクセスしないようにしてください。こういうスパムメールは配信元のメールアドレスを見ると、無料メールのドメイン名になっていたりするので直ぐに分ると思います。

やはり遊び目的のパソコンと銀行口座で取引を行うパソコンは分ける事が必要のようです。
ネットに繋がないパソコンと銀行取引用パソコン、遊び専用パソコンと上手く使い分けて情報漏えいが無いようにするべきだと思います。(パソコンも安く買えるしね)

「そんな金ねぇよ!」と言う人もいるでしょう。
しかし、やられてからでは後の祭り。
「うぅ~、どうせ取られるのなら、その金でパソコン買っとけば良かった!(T_T)」
という事になる可能性だってゼロではありません。

とりあえず、ネットバンクを使用している人は口座の状況を確認する事。
そして、多額のお金を預けているのであれば、必要な分だけ残し、普通の銀行に定期預金として預けておく方が良いと思います。

 Older Entries