スポンサーサイト

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

Guide
  •  …この記事と同じカテゴリの前後記事へのページナビ
  •  …この記事の前後に投稿された記事へのページナビ
  • Edit
  • TB(-)|
  • CO(-) 
 
 

▶ 書かないつもりが ~ 書いてみる ネトゲハッキング対策

▶ 書かないつもりが ~ 書いてみる ネトゲハッキング対策

どうも、今回は雑談記事です。
前回の記事でSSLについてと、過去ラペルズで起きたアカウントハッキング事件に
ついて綴りましたが、ユーザー側のハッキング対策については触れませんでした。

どうしよーかなと考えていたんですが、今回はそのユーザー側のハッキング対策に
ついてチョロッと書いておこうかなと思います。
とそれを始める前に、SSLのページについてまた少し。

先日、IT業界に務めているリアル身内(プログラマー)にSSL暗号化の説明を受けま
して、それで色々とわかったことがあります。 ァ~生ビールうまかった (´ᆺ`

SSL.jpg
これ、ニコニコ動画のログイン画面です。SSLのページになってますね。

URL横の鍵マークの所をクリックすると、サイトの運営者だとか安全だとか説明が
出ていますよね。
実はこのページ、偽装ができるそうです。

「え?!じゃあSSLにする意味ないじゃん!」 と思われた一般の方、いらっしゃると
思いますが、そういう事ではなく、SSL化する事には大変意味があると。
以下、話を聞いた自分の記憶と理解の限り、順序立てて説明してみます。


■SSLのページは、入力情報が暗号化されるページである
一般の方の為にわかりやすく言うと、SSLのページというのはサーバー側から、その
ページを開いているユーザー側へ文字列を暗号化する為のアイテムを貸した状態で
あり、個々のブラウザ画面で文字列を暗号化して、情報をサーバー側へ送信する形

となっているそうです。

※【理解違いだったので訂正】
  正しくは……httpsページというのは、利用者側へ "通信は暗号化されますよ" という事
  を伝えるためのもの、また "このページは偽ではなく本物のページですよ" という事を
  証明してあるページとのこと。


この 「暗号化」 には、様々な形があるそうです。
で、個々のブラウザ画面で暗号化された文字列をサーバー側へ送信する際、悪意のある
第3者にその暗号化された文字列情報が引っこ抜かれる可能性は、普通にある
と。

ただし、引っこ抜かれても情報は暗号化されているので、解析するのに時間がかかる。
解析に要する期間について質問しましたが、身内は「それは(相手の)スキル次第」と、
具体的な解析期間はなんともいえないと言っていました。

ただ、少ない文字列よりも、数字とアルファベットを組み合わせた最低8文字以上から
解析の壁が高く、厚くなってくるということでした。

そうそう、SSL化の料金について調べたのですが、安くて(たぶん1ページ)5000円~
38000円とか、そんな感じっぽかったです。


■パスワードは長ければ長いほど良い、その理由とは
1の2倍より100の2倍、100の2倍より1000の2倍の方が差が大きいわけで、それゆえ
長いパスワードであればあるほど、解析に要する時間が爆発的に増えるのだ、加えて
大文字、小文字、数字を不規則につなぎ合わせたものであれば、さらに解析は難しく
なるということでした。

そうすると 「秘密の質問」 による2重対策も当然意味のあるものだという事がわかります。
あれは全角で入力しますが、日本語には漢字・カタカナ・ひらがながあり、カタカナと
ひらがなは小文字が存在します。さらに(~)や(ー)といった伸ばしもあります。

それらを不規則に組み合わせると……?
解析しろとなったら、こんなに面倒なものはありません。
自分はこれまで、秘密の質問の答えを意味不明な日本語の組み合わせで設定して
いたのですが、実に良いやり方であったようです。

秘密の質問の答えを設定する時に、「母親の出身地は?」 に対してバカ正直に実際に
存在する地名にしたりと、質問の内容に関連する実在するものを設定している方は
今すぐに、意味のない文字列に変えることをオススメします。


■SSLのページは、偽装が可能である
SSL.jpg

さて、先程のニコニコ動画のSSLログイン画面の画像ですが。
鍵マークの証明の所に色々書いてありますが、実はこの 「nicovideo.jp」や「DOWANGO~
というのは、そこの会社が自分で入力したものが表示されているだけに過ぎないそうです。

つまり、どういうことになるのか?
そっくり同じ内容のものを、作成できてしまうということです。

「フィッシングサイト」 というものがあります。
このフィッシングサイトに誘導する方法は色々ありまして、

☠ メールに送られてきたURL先でアカウントとパスワードを入力させる
☠ フィッシング用のスクリプトが使われたメールを開かせて、感染させる
☠ フリーソフトにフィッシングスパイウェア・ウイルスを仕込み、それをダウンロードさせる
☠ フィッシングスパイウェア・ウイルスが仕込まれたページを開かせて感染させる


自分が知る限り、こんな感じです。

フリーソフトで、最初にダウンロードした時はスパイウェア・ウイルスの無い状態にして安心させ
フリーソフトを暫く使っている際に 「アップグレードが可能」 とメッセージを出し、アップグレード
させる事で、感染させるというやり方も。

悪意のあるスクリプトが仕込まれたメールを開いただけで、感染。
同じように、悪意のあるスクリプトが仕込まれたページを開いただけで感染。

PCが一度感染してしまったら、例えば お気に入りに入れてあるニコニコ動画のTOPページ
にユーザーが飛ぶと、毎回、気が付かないうちに自動的にフィッシング用ニコニコ動画TOPに
飛ばされてしまうようになります。

「パスワードも変えたのに、なんで?!」
「またハッキングされるなんて、これは会社側の落ち度では!?」


正しいURLに飛んでも、一瞬のうちに画面がフィッシング用サイトに切り替えられてしま
っていることに全く気がつかないでいる。
会社のサーバーセキュリティが甘かったり、内部犯の可能性もゼロではない。
ですが大体が、ユーザーがそうして知らぬ間にPCを感染させていることが多い模様です。

とくに、有料のアンチウイルス・スパイウェアソフトをPCに入れておらず、フリーソフトをあれこれ
PCに入れていたり、そこら辺で配布されている適当な資料や画像をダウンロードしたり、興味
本位でURL先を見に行ったり、安易にスクリプトが使われているメールを開いたりそうこうして
感染して、気付かずPCを使い続け、何度もハッキングされている方が多いのではと思います。

一度ハッキングされた人は、またハッキングされる

よく言われることです。
知識がないことによる、ネットを楽しむうえでの平均以下のセキュリティ意識。
なので、同じことを繰り返すのです。
MMOでしたら、最初は優しい人に装備とか支援してもらえるかもですが、二度三度と
なると、さすがに周りもフォローしきれなくなるでしょう。
信用にかかわります。

最後の手段としては、OS自体の入れ替え……ディスクフォーマット です。
PCをこれで、ウイルス・スパイウェアのない真っさらな状態にできます。
そして、今までのセキュリティ意識を改め、慎重なネット生活を心がければ、そうそう
ハッキングされることはないと思います。

USBメモリの扱いにも、要注意ですよ。
なにが要注意なのかわからない方は、ご自身で調べてみてください。


■PC内 メール内 スマホには、本当に大事な情報を保存しない
PC内のメモ帳やメール内に各ゲームのアカウント・パスワード・セキュリティカード
を保存したりするのは、当たり前ですが危険です。 スマホも、第2のパソコンなので
注意が必要です。
PC内やメール内なら、全て削除(ゴミ箱内も削除)、跡形もなくです。
基本中の基本です。

会員登録をした際に、パスワードは 「*******」 の形で伏せてあるのに、アカウントID
だけはしっかり表記されちゃってるメールを送ってくる所がありますよね。
最悪です、ソッコーで消します。


■アカウント・パスワード・秘密の質問など 使いまわさない
当たり前すぎることですが、一応かいておこう。
甘い考えは悲劇を呼びます。
大事なものほど、しっかり管理です。


■不要なスクリプトを実行させない

スクリプト1

「スクリプト」 についての説明は、ここでは省きます。
これはツイッターTOPで使用されているスクリプト達です。
これだけのスクリプトがページの中にあります。
が、これは少ない方です。

20種類以上のスクリプトがあるページも普通に存在します。
ブロックしなければ、ページを開いた途端すべてが実行されます。
必要なものも、不要なものも、すべて。

上の写真、少なくともツイッターにログインするだけなら、どのスクリプトも必要ありません。

あなたのブラウザのスクリプト実行設定、どうなってますか?


■お ま け

「狙われた乗客の荷物」ザ!世界仰天ニュース - YouTube

今でもまだ普通にありそうですね~これは。
それじゃ、また次回の記事で(・ω・ノ

                       =>トップの記事選択に戻る




Guide
  •  …この記事と同じカテゴリの前後記事へのページナビ
  •  …この記事の前後に投稿された記事へのページナビ
 

~ Comment ~

NoTitle

(冒頭)
どうしよーかなと考えていたんですが、今回はそのユーザー側のハッキング対策に
ついてチョロッと書いておこうかなと思います。


全然チョロッとじゃないし!

NoTitle

たいへん勉強になりましたv-398

改めて調べてみました

ここFC2やラペルズ公式のような、ログイン入力場所のあるhttpページは
その情報を送信する際、暗号化が行われている模様です。

で、httpsのページというのは 「このページで入力した情報は、送信する時に暗号化されます」
といった意味を持つページで、そのページで入力した情報が入力した矢先に暗号化されている
わけではない模様。

なので、記事に書いたこの部分 ↓

「サーバー側から、そのページを開いているユーザー側へ文字列を暗号化する為のアイテムを
貸した状態であり、個々のブラウザ画面で文字列を暗号化して、情報をサーバー側へ送信する形」

というのは、理解違いでしたので記事をこの後訂正しておきます。


httpsのページは、利用者側へ "通信は暗号化されますよ" という事を伝えるためのもの、また
"このページは偽ではなく本物のページですよ" という事を証明してあるページ……という事ですね。
偽のフィッシングページを見破るためのもの。
https偽装は可能のようですが、httpページに比べると、今のところ圧倒的に少ないようです。

(ちょっと笑ってしまうhttps偽装のやり方見ちゃいました、画像を使うってやつ。
引っ掛かる人は引っ掛かるんでしょうね)

そうそう、自分が気をつけているアカハック対策でもう一つありました。
「送られてきたメールに貼ってあるURLには(ダイレクトに)飛ばない」 です。
本物の運営からのメールでも。

メールを開いただけで感染する危険のある、webサイトのようなHTML形式のメール
は、本当に開きたくありません。原始的なテキストメールの方が危険が少なくていい。
HTML・テキストを切り替えられるなら、テキスト形式に切り替えておいたほうが良い
と思います。

これからフィッシング手法も進化してくると思うので、気をつけていきたいですね。

対策

なるほど、用心のうえにも用心ですねv-392

Re: 対策

そうですねぇ。

▶SSL の概要 - SSLサーバ証明書 | シマンテック
http://www.symantec.com/ja/jp/page.jsp?id=how-ssl-works

ここが一番わかりやすく且つ詳しくSSLの事が書かれてたかな。
  ※コメントの編集用
  シークレットコメントにする (管理者のみ表示)

MENU anime_down3.gif

同じカテゴリの記事が一覧表示されます
同じタグの記事が一覧表示されます
更新月別の記事が一覧表示されます
キーワードで記事を検索
 
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。