現代人のウェブサイトパスワードの悩み：中小規模のウェブサイトは漏洩しやすい

ITタイムズ記者 李東林飛

パスワード、パスワード、そしてまたパスワード...現代人はパスワードなしで生活できるのでしょうか？クレジットカードにはパスワードが必要、オンラインショッピングにはパスワードが必要、Weiboにはパスワードが必要、OAシステムにログインするにはパスワードが必要、メールを開くにもパスワードが必要...アカウントとパスワードの羅列で生活が成り立っていると、トラブルやリスクも伴います。どうすればあなたを守れるでしょうか? 私のパスワードです。

No.1 現代人のパスワードの悩み

主婦の牟さんは、いつもパスワードを覚えられないのではないかと心配していたため、生活の中で使ったパスワードをすべて小さなノートに記録していました。しかし、ある日、買い物から帰ってきたら、パスワード帳がなくなっていて、道で気絶してしまいました。同様のパスワードトラブルは数多くあります。

長江、黄河、蘇州河が交互に流れ

高さんは大手国有企業の従業員です。社内のOAシステムにログインし、重要な社内ニュースや業務プロセスの進捗状況を確認するのは、彼女が毎日しなければならない仕事です。セキュリティ上の理由から、同社の OA システムでは、従業員に 3 か月ごとにパスワードを変更することを義務付けています。パスワードはある程度複雑である必要があるだけでなく、過去 3 回のパスワードと同じものは使用できません。

高さんはこれにかなり困っています。3か月ごとにシステムからパスワードの変更を求められると、前のパスワードとは違うパスワードを探すのに頭を悩ませます。でも、パスワードって数字がいくつかあるだけじゃないですか。自分の誕生日、息子の誕生日、夫の誕生日、家の番号…何度も変えていると、本当にごちゃごちゃしてしまいます。彼女は間違ったパスワードを入力したためにアカウントがロックアウトされ、IT 部門の同僚に問題の解決を依頼しなければならなかったことが何度かありました。その後、同僚が彼女にコツを教えてくれた。パスワードを、よく使われる数字の固定数に設定し、その後に「長江、黄河、黒龍江、蘇州河」と順番に続けて、3か月ごとに「川」を変えるのだ。はっきりと覚えていなくても、3回試して失敗すれば、それで終わりだ。

パスワードを紛失すると、一連のウェブサイトが失われます

「7月末に、あるECサイトのアカウントのパスワードが流出した。今まで気づかなかったし、その間、何の通知もなかった。しかも、私の携帯電話とメールは、誰かのセキュリティコードで紐付けられていた」。ネットユーザーの「新安」さんは最近、かなり落ち込んでいる。あるECプラットフォームに預けた350元は、ハッカーに使われてしまった。ウェブサイトの情報によると、当時、彼は李寧の靴1足、モバイルバッテリー、4Gメモリカードを購入した。配送先住所は広東省北部の農場で、家番号すら記載されていなかった。

現在に至るまで、「シンアン」さんは、自分のパスワードがこの電子商取引会社によって漏洩されたのか、それとも他のウェブサイトのパスワードやアカウントが盗まれたことによる連鎖反応だったのかをまだ知らない。同じメールアドレスとパスワードを使用して多くのウェブサイトにログインしているからです。いずれかのアカウントのパスワードが盗まれると、これらの Web サイトの個人情報がすべて漏洩します。

No.2 パスワードに潜むリスク

少し前、「365ソーシャルワークデータベース」というウェブサイトがユーザーのプライバシー情報を公然と販売しており、100万件の個人情報が500元で購入できた。ウェブサイトの「能力」を実証するために、「365 ソーシャル エンジニアリング ライブラリ」では逆検証サービスも提供しており、購入者は自分の電子メール パスワードが漏洩していないかどうかを確認できる。この悪質な「ハッキング」行為により、人々はウェブサイトのアカウントパスワードの保護について深く考えるようになりました。

ソーシャルエンジニアリングデータベースクラッキング技術は素晴らしい

いわゆるソーシャルエンジニアリングデータベースとは、取得したユーザー情報を使用して標的型アカウントクラッキングを実行するソーシャルエンジニアリングデータベースを指します。ハッカーが 1 つのアカウントを知ると、他のより価値の高いアカウントにアクセスできるようになります。パスワードが異なっていても、ハッカーはパスワードをブルートフォースクラッキングのキーワードとして使用することで、クラッキング率を大幅に高めることができます。

「ソーシャルエンジニアリングによるデータベーススキャンは、携帯電話番号、誕生日、自動車購入、会社登録など、ユーザーの個人情報をすべて意図的に収集するという点で、従来のクラッキングとは異なります。ハッカーはこれらの情報を集約した後、ツールを使用して包括的に処理し、さまざまな情報を整理して組み合わせることでアカウントのパスワードをクラックします。」ウェブサイトのパスワードセキュリティサービスを提供する北京明超万達科技有限公司の会長である王志海氏は、ITタイムズの記者に、この形式のソーシャルエンジニアリングによるデータベーススキャンクラッキングの成功率は驚くほど高いと語った。「クラッキング率は20％を超えることがよくあります。クレジットカード5枚のうち1枚がクラックされたケースもありました。」

ウェブサイトのパスワード保護は基本レベルです

実際、国内のさまざまなウェブサイトでは、ユーザーアカウントのパスワードのセキュリティ保護に関してさまざまな問題を抱えています。

今年5月、中国ソフトウェア評価センターと北京大学北京市インターネットセキュリティ技術重点実験室は共同で「ウェブサイトユーザーパスワード処理のセキュリティに関する外部評価レポート」を発表した。ポータル、メール、電子商取引、求人、結婚・恋愛、ゲーム、フォーラム、ブログ、微博など9つのカテゴリーのウェブサイト100件を選定し、ユーザーパスワード処理のセキュリティ評価を行った結果、ユーザーパスワードの処理に十分なセキュリティ対策を講じていたのはわずか8件で、85件のウェブサイトはユーザーのパスワードの原文を直接入手していたことが判明した。

北京大学北京インターネットセキュリティ技術重点実験室の評価リーダーの一人であり、上級エンジニアであるゴン・シャオユエ氏は、「全体的に見ると、中国のウェブサイトにおけるユーザーパスワードの保護は依然として非常に基本的なレベルにあり、早急に改善する必要がある」と述べた。

中小規模のウェブサイトは漏洩しやすい

「現在、多くの中小規模のウェブサイトは、ウェブサイトのアーキテクチャを構築するためにオープンソースのプラットフォームを使用していますが、これには多くのセキュリティ上の抜け穴があります。ハッカーは抜け穴を見つけるだけでそれを破ることができ、数分以内にデータベースを爆発させることさえできます。」と王志海氏は記者団に語った。中国の中小規模のウェブサイトの多くは、ハードウェアやソフトウェアのリソースのコストに制限があり、ファイアウォールやセキュアコーディングなどのセキュリティ対策への投資が不十分です。そのため、ハッカーがウェブサイトのデータベースや保存されているユーザーパスワードを簡単に解読できてしまいます。これは業界では「データベース侵害」と呼ばれています。

優侠セキュリティの張百川部長は記者団に対し、「現在、多くの大規模ウェブサイトがサブサイトを設置しており、チャネルの数も増えている。電子メールログインなど一部のチャネルはセキュリティ対策が優れているが、一部のチャネルはセキュリティが劣っている。これらのチャネルにログインする際に同じアカウントとパスワードを使用すると、セキュリティ上の問題が発生する可能性がある」と語った。

同時に、多くのウェブサイトはパスワードの保存と保護に注意を払っていないため、データベースが侵害された後、ハッカーが簡単にパスワードを入手できてしまいます。王志海氏は、現在多くのウェブサイトが暗号化に人気のMD5アルゴリズムを使用しているが、これは非常に単純で、ランダム値などの保護を一切追加していないため、簡単に解読されてしまうと指摘した。シマンテック・ノートンのエンジニア、張楊氏は、過去のパスワード漏洩事例から判断すると、その多くは管理者がデータベースにパスワードをプレーンテキストで保存していたためだと述べた。ハッカーがウェブサイトを攻撃し、データベースの権限を取得したとき、ハッカーはユーザーのパスワードをはっきりと見ることができた。

内部トラブルも大きな隠れた危険である

「外部からの攻撃に加え、業界内のウェブサイト漏洩の多くは内部関係者によるものだ」王志海氏は記者とのインタビューで衝撃的な発言をした。同氏は、競争の激しい業界では、企業内での人事異動が頻繁に起こり、業界間の競争により、実務者が保有するデータベース情報を他社に転売することもあると述べた。一部のウェブサイトでは、内部スタッフが利益を上げるために、情報を有料情報サービス会社に転売し、ユーザー情報の流出を引き起こしています。

張百川氏が理解しているのは、内部関係者は必ずしもその会社の社内従業員ではなく、むしろこれらの会社に外注している会社である場合があるということだ。

張百川氏は、陝西省の通信事業者が課金システムプロジェクトの一部を地元のIT企業に外注した事例を説明した。その結果、OAプロジェクトを実施したIT会社の従業員は悪意を持っていた。昼間は通常通り仕事をし、夜間にアクセス権を使って事業者のユーザーデータベースを自分のパソコンにダウンロードした。「結局、この人物は陝西省の7つの都市の携帯電話ユーザー1394万人の情報を入手し、3万元で販売した。購入者はこのデータベースを使って大量のテキストメッセージを送信し、最終的に100万元以上を儲けた。」

N 0.3 パスワードに関する複数選択問題: 利便性かセキュリティか

高さんの悩みは、なぜいつもパスワードを変えなければならないのか、ということ。新安さんの悩みは、なぜ同じパスワードは安全ではないのか、ということ。二人の悩みの背後には、現代人のパスワード生活における利便性と安全性の間の難しい選択がある。このパスワード問題を解決する方法はたくさんありますが、2 つのオプションの間にはジレンマもあります。

フェデレーションログインの長所と短所

現在、ネットユーザーが一部のウェブサイトにログインする際、WeiboやQQのアカウントとパスワードを直接使用できることが多く、業界では「共同ログイン」と呼ばれています。 JD.comの技術ディレクターはIT Timesに対し、共同ログインはoAuthと呼ばれる技術を使用しており、サードパーティのウェブサイトはユーザーのアカウント情報にアクセスできないと語った。「外部の共同ログインウェブサイトで漏洩が発生した場合、漏洩したウェブサイトの共同ログイン方式を直ちに閉鎖して、ユーザーのセキュリティを確保することができます。」

張百川氏は共同登録には利点と欠点の両方があると考えている。 「メリットは、ユーザー登録の手続きが簡単になることです。セキュリティ技術力が弱い中小規模のウェブサイトは、共同ログインを通じてユーザーのパスワードをWeiboとQQに安全に預けることができ、ユーザーパスワードが漏洩する可能性を回避できます。しかし一方で、WeiboとQQのパスワードが漏洩した場合、連鎖反応も引き起こします。」上海中人ネットワーク情報技術のCEO、譚建鋒氏はこの方法に強く反対しており、漏洩後の連鎖反応についても懸念している。

新しいパスワード認証方法が実現可能かもしれない

実際、高さんのパスワード保護方法は少し面倒ではあるものの、現在の技術レベルではまだ良い保護方法です。記者によると、多くの大手外資系企業は、従業員にパスワードの定期的な変更を義務付けるだけでなく、社内イントラネットにログインする際に使用する動的トークンを従業員に提供しているという。

Anquanbao はセキュリティテストサービスを提供する会社です。同社の共同製品担当副社長である Wu Hanqing 氏は、2 要素認証 (DFA) が比較的優れたソリューションであると考えています。 2要素認証では、ログイン時にユーザー名とパスワードの入力が求められるほか、モバイル端末で受信した確認情報も入力する必要がある。「GoogleとFacebookは以前からこの機能を強化している。データ分析によるログインセキュリティの確保も1つの側面だが、この点では誰もが十分に取り組んでいるわけではない」とウー・ハンチン氏はITタイムズの記者に語った。

今年のIT新人の一人、譚建鋒氏は中人ネットワークを設立し、時間同期技術を利用した2要素認証システムを提供している。このシステムは、動的パスワードトークンと認証ソフトウェアシステムから構成されている。「ユーザーが認証のためにログインする際、ランダムに変化する動的パスワード番号を当社の動的トークンに入力する必要があります。ユーザーのキーは安全に保存され、ユーザー情報の漏洩を防ぎます。動的パスワードは無秩序かつ不規則に変化するため、パスワード漏洩による侵入の問題を解決できます。」JD.comの技術ディレクターは、ますます普及しているQRコードと生体認証技術は、より便利で高度な身分認証技術になるだろうと語った。

中国、ウェブサイトのセキュリティ基準を制定へ

中国ソフトウェア評価センター副所長で北京CCID情報技術評価有限公司の執行社長である高志洋氏は、中国ソフトウェア評価センターが主導する情報システム個人情報保護標準システムの構築には、関連する標準と仕様の確立が含まれると述べた。

中国ソフトウェア評価センターのスタッフはITタイムズに対し、作業は初期成果を達成したと語った。総合的な指導基準は承認され、12月末に正式に発表され、来年2月1日に正式に実施される予定だ。

スタッフはまた、この基準に従って、第三者機関を利用してウェブサイトの安全性とユーザーの個人情報の保護を評価すると述べた。「評価スコアは発表され、ユーザーはウェブサイトの安全性と個々のユーザーの保護を理解し、より安全なウェブサイトの使用を理解して選択できるようになります。」

原題：現代人のウェブサイトパスワードの悩み：中小規模のウェブサイトは漏洩しやすい

キーワード: 現代人、ウェブサイト、パスワード、トラブル、中小、ウェブサイト、漏洩、多発地域、タイムズ、ウェブマスター、ウェブサイトの宣伝、金儲け