ICHIRO BLOG引っ越しました

引っ越しの理由
無縫地帯

パスワードを使い回しても問題ないという話もあるようです

2014.07.22

勢いづくLINEが、ついに日米両国での株式市場で上場申請する一方、同じくリスト型攻撃と思しきアカウント乗っ取りが勢いづいており、興味深い展開になってきています。

山本一郎です。私にとっては、むしろ実名が使い回されても問題にならないぐらいの勢いです。

ところで、勢いが止まらないLINEでありますが、遂に日米両国の株式市場にて上場申請がなされました。

LINE、東証に上場申請時価総額1兆円か(日本経済新聞 14/7/15)

LINEがこのほど東京証券取引所に上場申請したことが明らかになった。秋にも上場承認を受け、早ければ11月にも上場する見通し。時価総額は1兆円を超えるとみられる。日本経済新聞
LINE:米SECにニューヨーク市場での上場を申請(Bloomberg 14/7/18)

LINE(ライン)が米国証券取引委員会(SEC)にニューヨーク市場での株式上場を申請したことが、複数の関係者への取材で17日までに明かになった。Bloomberg
まさに破竹の進撃といったところですが、一方でLINEユーザーを狙った犯罪の方も勢いが止まらないようです。

LINE乗っ取り被害600万円(NHK「かぶん」ブログ 14/7/11)

LINEのIDが乗っ取られ、その友人などが相次いで電子マネーをだまし取られている問題で、こうした被害の総額は、少なくとも598万円に上っていることが分かりました。(中略)被害は現在も続いているということで、LINEの運営会社は利用者に対し、パスワードは、他社のサービスとは違うものを使うよう呼びかけています。NHK「かぶん」ブログ
便利ツールが普及すれば、犯罪を為す側にとっても便利であることは仕方が無いわけですが。

あまりにも乗っ取り事件が多発しているため、この乗っ取りの様子を真似したいたずらなどまで流行りだす始末。中には遊びで乗っ取り犯を気取っていたら運営からアカウントを消されてしまったという話まであるようですが、こちらは経緯を調べてみたら、そうした遊びをしている最中に偶然にもアカウントが乗っ取られていた可能性もあるらしいという、もう何がなにやら訳の分からない混乱ぶりです。ほんとかよ。それだけ乗っ取り行為が常時頻繁に起きているということなのかもしれません。

【悲報】LINE乗っ取りごっこをして遊んでいたら運営にアカウントを消されたでござる(netgeek 14/7/15)
【続編】LINE乗っ取りごっこでアカウントが削除された件についてLINEから説明が届いたでござる(netgeek 14/7/18)

素敵な話がたくさん転がっていて、楽しそうですね。

それにしても、なぜ、こうも多くの乗っ取り事件がLINEで起きてしまっているのか、LINE側はその正確な原因等を明らかにしていませんが(その手口が明かされるとさらに真似をする輩も現れるからと思われますが)、外部のセキュリティ対策事業者が分析した記事なども出てきています。

LINE乗っ取り事件の真相新手詐欺、どう防ぐ(日本経済新聞 14/7/16)

上記記事では「リスト型攻撃」の可能性を示唆しており、パスワードの使い回しなどをしないようにと注意を促しています。ただ、あまりにも多くのユーザーが乗っ取り被害にあっており、被害者の中には明らかにITリテラシの高いと考えられるような人も決して少なくないため、はたして単純なリスト型攻撃だけなのかどうかは謎と感じております。このあたり、実態と手口がいまひとつ良く分かりません。LINE側としても新たにPINコード方式を導入するなどの対策強化を施してきたので、これで被害が減少するのかどうか事態を見守りたいと思います。

LINEが“乗っ取り”対策を強化--「PINコード」で本人確認(CNET Japan 14/7/15)

同社ではこれまで、メールアドレスとパスワードの組み合わせで本人確認をしていたが、さらにPINコードを設定することで、見知らぬ他人からの不正ログインを受けづらくなるとしている。CNET Japan
ところで、上に挙げたいくつかの記事の中でも出てきた話ですが、パスワードを使い回すことはセキュリティ的に大変危険であるというのがもはや世間の常識となってきているわけですが、そんな常識に対して敢えて疑問を呈した論文が発表されておりました。

簡単なパスワードの再利用がセキュリティ管理上有効であることが数学的に判明(GIGAZINE 14/7/17)

興味のある方は是非リンク先の記事を読んでいただければと思いますが、先にネタバレしてしまうと、要はパスワードも時と場所を選んで上手に使い分けましょうという、よく考えれば当たり前のことを、かなり理屈っぽく説いているだけみたいな内容でありました。

パスワード管理における努力の傾け方にメリハリをつけることが大切であり、パスワード流出による被害が小さい多くの場合では簡単な使い古されたパスワードの利用を認める方が、より低リスクかつ容易な手法として実践的で有効なパスワード管理方法として受け入れられるGIGAZINE
例えてみれば、大金の入った金庫には高度なセキュリティを施したカギを付けるけれど、どうでもいい掃除道具をしまっておくだけの物置なら3桁のダイヤルロックでも十分だろうみたいな話です。もし問題が起こるとすれば、どうでもいいと思っていたはずの掃除道具が盗まれてみたら実は取り返しがつかないほどに大変貴重なものであったと判明したりする場合でしょうか。そんなことが実際にありえるのかどうかは分かりませんが、まずはしっかりとプライオリティを考えてパスワードを決めるべきでしょうね。そこはまさに自己責任であるということです。

そういえば、mixiのパスワードは5年越しで変更していないことにいま気づきました。
こっそり開けてみると誰か別の山本一郎さんが使ってたりするんでしょうか…。