インターネット使用時に心掛けたいこと
マカーな人が、iPhone/iPad/Macをクリアされるという、かなり恐ろしい事態があったので、考えてみる。
とりあえずポイントだけあげると
- サービス毎にバラバラにすべきはパスワードでなく、アカウント名
- Amazonはザル
事件のおさらい
犯人がやったとされていること。
1. twitterプロフィールから本人のWebSiteへ
2. 本人WebSiteでGmailアドレス取得
3. Gmailのパスワード再発行画面で表示される、伏字アドレスとアカウントからme.comアカウントを推定
4. Appleテックサポートで、必要な認証情報を確認(住所とカード番号)
5. Amazonテックサポートに電話して、アカウントにクレジットカードと住所を勝手に登録
6. 再度Amazonテックサポートに電話して、メアド登録(カード番号と住所はさっき登録)
→Amazonアカウント乗っ取り。本人の住所とカード番号取得
7. Appleテックサポートで、住所とカード番号で認証。me.comアカウント取得
→リモートからiPhone等のデータクリアが可能に
8. Gmailのパスワード再発行成功
9. twitterのパスワード再発行要求し成功
ガード方法を考える
それぞれのステップを検証してみましょう。
1. 非公開にすれば防げるが、公開したい人もいる
2. 非公開にすれば防げるが、公開したい人もいる
3. 推定されないようにする。すなわちそれぞれのアカウントを違うものにする
4. 防げない
5. 多分、防げない。Amazonとしてはクレカ登録はWelcomeだろうし、外部システムはいつ直すやら
6. 上が防げないので無理。というかAmazon、脆弱性だね、こりゃ。使用禁止ですな
7. 多分、防げない。Apple、Amazonと同じ脆弱性がなければ良いですが、、、
8. 防げるはずがない
9. 防げないが、工夫はできる
あともう一つ。くどいから書いてないのだろうけど、
pre5. Amazonアカウントを推定
というのが、ある。
似たようなアカウントで推定されたか、Amazonの公開情報から推定されたか。
結論
最重要は、
Amazonは使わない
Amazonにクレジットカード情報を渡さない
Amazonのクレジットカードは、Amazon専用にする
のどれかを行う。
過去にもいろいろと問題を起こしているので、使わないの推奨です。
使う場合は、データを渡さない。
Amazonギフト券+コンビニ受け取りで、カードや住所を渡さないで済みます。
Amazon専用カードにした場合、使用履歴には充分な注意が必要ですね。
なお、私が最近使っているのは、honto。
モバイルsuicaで決済できるのが魅力。
脆弱性の検証は、、、まだしてない。
次、twitterのパスワード再発行ができたのは、メールアドレスをたどれたため。
そこを断ち切る。
公開するメールアドレスは、認証に使わない(認証用の誰にも教えないアドレスを作る)
認証用アドレスは、アカウント毎に変える
認証用アドレスは、紙に書いて金庫にしまう(電子情報を残さない)
どうせパスワードを忘れない限り出番のないメールアドレスです。
一定期間アクセスしないとなくなるようなサービスの使用は向いてませんが
そうでなければ、ロクに使わないアドレスです。
紙に書いて金庫で充分。
全転送運用する場合は、転送先アドレスが弱点となることを認識してください。
(でも、全転送でないとやってられない)
そして
サービス毎にアカウントは変える
これは、あんまりしたくないけどね。
ま、理想はアカウントもパスワードも全てばらばらで推測不可にする。
すなわち、アカウント管理ソフトが必要。(そしてそこが弱点となる)
お、でも、アカウントが違うなら、パスワードは同じでも良い気もする。
最後
電子情報はいつかは漏れる
漏れた時の対策を考えておく
ということが重要です。
これを機に、各サービスに提供している自分の情報を再確認してみませんか?
あと、パスワードね。