Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

パスワード漏えいの被害を最小限に抑える

アカウントとパスワード漏えいは、既に毎日のように出てくるものであり、よく色々なところに登録するアドレスであれば、数回漏えい被害を受けている可能性すらある時代です。そんな中、Firefoxの新たなテストは少し期待できるものな気がします。

forbesjapan.com

Firefoxはアカウント情報の漏えいをトラッキングしているサイト「HaveIBeenPwned(HIBP)」と協力し、情報が流出した場合にユーザーに通知する。現在テスト運用中の「Firefox Monitor」では、メールアドレスを登録するだけで通知を受け取ることができる。

 

FirefoxとHIBPが提携するのは今回が2回目だ。昨年11月にFirefoxが発表した新機能「ブリーチアラート(Breach Alerts)」では、情報漏えいが起きたサイトを訪問した場合にポップアップが表示され、メールアドレスが漏洩していないかHIBPでチェックできるオプションが提示される。

(ForbesJapan記事より引用)

 

◆キタきつねの所感

トロイ・ハント氏は数々の個人情報漏えい事件を世に先駆けて発表してきたセキュリティ専門家であり、運営する「Have I Been Pwned」は、日本企業自身が気づいてなかった漏えい被害が多数報告されるきっかけとなっています。そうした漏えい事件を調査しているトロイ氏と組んでのFirefoxの新しい実験は、元々Firefoxが実装していたBreach Alertsと組み合わせる事で、あまりセキュリティ意識が高くないユーザでも「漏えいの危険性」が簡単に把握できる様になるかも知れません。

Facebookの事件でもそうだったようにユーザ側はあまりに多くのクレデンシャル(個人情報)を色々なサイトに登録しているが故に、どこから自分の個人情報が漏れたか把握するのは困難です。

IDやパスワード漏えいに関して、ユーザ側の防衛策は限られています。中でも問題なのがパスワードの使いまわしです。パスワードの使いまわしがあまり良く無い事を引き起こすかも知れないと誰もが理解しつつも、結局、サイト毎のパスワードを覚えておくのが難しいので、使いまわししているのが原状だと思います。

最近はサイバー攻撃が日常化しており、年に1回程度は何らかのサイトから自分のID(往々にしてメールアドレス)とパスワードが漏えいしているかも知れない時代となりつつあります。企業側がそれを告知してくれる場合はまだしも、「サイバー攻撃を受けた事に気づいてない」場合については、ユーザ側はそれを知る術はありません。

それが、アンチウイルスソフトがたまに「そのページは危ないサイトです」と警告を与えてくれるように、「過去に情報漏えいが発生しているサイト」とか「貴方のIDがこのサイトから漏えいした可能性があります」・・・といった警告を出してくれるようになれば、自分が被害を受ける前に、パスワードを変更したり、フィッシングメールを警戒するなどの準備ができる気がします。

こうした技術(サービス)がもっと一般的になれば、ID/パスワードをもう少しだけ延命させる事ができるかも知れません。

 

アカウント乗っ取りのイラスト

 

更新履歴

  • 2018年7月1日AM(予約投稿)