今日はちょっと長めのブログになります。お時間のない方はスルー推奨で・・・
突然ですが、先日以下のようなメールが届きました。
インスタのアカウントに不審なログインがあったとの警告メールです。
受け取ったときに、中の人は・・・
「 なんだ、またフィッシングかよ、懲りないねぇ・・・ ┐(´д`)┌ヤレヤレ 」
と思いつつも、一応メールの正当性を確認することにしました。
フィッシングの場合、一見正当に見えるURLでもリンク先が正規のものとは異なっていることはよくあることです。今回の件もそうだろうと高を括っていました。
しかし、調べてみるとそれは紛れもなくインスタからの警告メールでした。メールにもある通り、デバイスはHUAWEIのAndroid、ブラウザはQQ browser、アクセス元はUKのBlackpoolとなっています。
中の人は現在HUAWEIのスマホは使っていないですし、えげれすのぶらっくぷーるにも行ってもいないですし、知り合いもいません。そしてブラウザは「QQ browser」です・・・
「ほう、最近のえげれす人はQQ browser使うのかぁ、珍しい人もいたもんだ・・・」
「って、そんなわけあるかい!」
てなもんですよ。アクセス元はいくらでも偽装可能ですし、「QQ browser」を使っていることからも、某国からのアタックの可能性を予感させます。
そもそもこのインスタの垢は、閲覧専用垢として作ったものでIDもパスもテキトーに作ったものでした。特にパスに関しては、正直誰でも思いつくようなものだったので、恐らくリバースブルートフォースに引っかかったのかもしれません。
とりあえず、早急に垢のパスを変更する作業を行うとともに、念の為、インスタの垢自体を削除する手続きを取りました。閲覧専用垢ですから、うpしている写真は1枚もなく削除することに何の躊躇いもありませんでしたので。
ただ、こういった警告メールを受け取るのは本当に久しぶりだったので、閲覧専用垢とはいえ安易なパスワードを利用することのリスクを再確認した次第です。それとともに、現状のIDとパスの管理体制を見直すきっかけにもなりました。
実は、これには伏線がありました。ここ1~2ヶ月の間に弊社顧客の数社様から某社のアカウントへの不審なアクセスのご相談が立て続けにあったのです。これに関しては、ちょっと気になっていて大規模が漏洩があったのではと危惧していたところでした。
そんなこともあり、現状のIDとパスの管理を早急に見直すことにしたのですが、私の現状のIDとパスの管理方法はかなり変わっています。詳細は述べませんが、利便性とセキュリティを可能な限り両立させるために考えた方法ですが、今回のような(攻撃方法が確定したわけではありませんが)リバースブルートフォースに弱い面は否定できません。
当たり前ですが、「ひとつのIDに対し、一意のパスワード」が理想です。
これを実現するためには、正直、手作業では無理があります。ひとつやふたつのIDやパスであれば覚えることもできますが、現状で利用しているIDとパスは10や20ではないのです。地道に調べてみたのですが、軽く200以上はありました。
となると、もうこれはいわゆる「パスワード管理ソフト」や「パスワード管理サービス」を利用せざるを得ません。実は以前、某パスワード管理サービスを使っていたことがあるのですが、サブスク制に切り替わってしまったため利用を止めてしまったのです。
それ以来、「パスワード管理サービス」は使っていなかったのですが、今回新たに同様のサービスを調べてみると、うってつけのサービスがありました。それが今回ご紹介する Bitwarden というサービスです。
1 Password や LastPass と同様のクラウド型のパスワード管理サービスですが、最も異なっているところは「オープンソース」だということ。「オープンソース」であることで、誰かがソースコードのバグを見つけたり、改良して修正したりといったサイクルが世界中のユーザーによって行われ、安定性が高くなり、低コストで高品質な開発を行えるというメリットがあります。
これは 「KeePass」 というパスワード管理ソフトの元祖のようなソフトもそうなのですが、クラウドベースではいまのところ、Bitwardenだけだと思います。
それと、無料アカウントでも通常利用においてはほぼ機能制限がないことも魅力です。他のサービスでは、無料アカウントだと利用できるサイトの数が制限されていたりすることもありますが、Bitwardenでは無制限で利用可能です。2段階認証やE2E暗号化などセキュリティに関しても、無料でも有料プランとの差はほぼありません。
有料プランに関しても、個人向けの「プレミアムアカウント」でも年間10ドルと、他の同様のサービスの1/3の料金となっていて非常に良心的です。
中の人は、このサービスを見たときに
「これだぁあああああ!」
と直感しました。中の人は直感を大事にするようにしているのですが、この感覚は10年近く前に初めて「Dropbox」のサービスを認識したときの感覚と似ています。
すぐさま無料アカウントを作成し、200以上あるサイトのIDとパスワードを1日で全て移行させたのは言うまでもありません。
Bitwardenのサイトは残念ながら日本語化されていないのですが、垢を作成するページやWindowsアプリやウェブのインターフェースやモバイルアプリに関しては、全て日本語対応になっているので迷うことはないでしょう。
登録作業や操作に不安のある方は、 やりすぎセキュリティ さんの 【SSS】Bitwardenのダウンロードと自動入力の使い方 というページに非常に詳細な利用方法が載ってますので、参考にしてみてください。
注意する点としては、登録の際の「マスターパスワード」に関して細心の注意を持って作成するということです。「マスターパスワード」を万が一忘れた場合は、復旧方法がありません。文字通り「詰み」ますので、忘れないようにご注意ください。それと当然ですが、「マスターパスワード」は強力なものにしてください。間違ってもディクショナリーアタックやブルートフォースアタックで簡単に突破できるようなものは使用しないでください。
(リバースブルートフォースくらったお前が言うな!というツッコミはナシでお願い (*ノω・*)テヘ)
それと、Bitwardenのデフォのパスワードの作成の文字数は14文字になっているのですが、残念ながらサイトによってはそれ以下の文字数の制限を設けているところがあります。(10文字以内で作れとかね)
そういうサイトの場合、文字数がオーバーしてしまう場合もあるのでサイトでのパスワードの文字数制限を確認するようにしてください。
最後に、クラウドでパスワードを管理することへの”懸念”についてですが、これは様々なご意見があることは承知しています。「パスワードは大事なものだからローカルで保存したい」というご意見があるのも理解できますし、「クラウドから漏洩したらどうするの?」というご懸念もあるでしょう。
ただ、考えていただきたいのは、世の中での情報漏えいの多くは個人から漏れることはあまりなく、情報を管理している会社から漏れていることが多いということです。つまり、個人がいくら大事にパスワードを保存していても、サービス提供元から漏れてしまっては元も子もないということです。
いくら強力なパスワードを施しても、「IDとパスワード」のセットで漏洩してしまっては、強力なパスワードも意味がありません。
であるならば、ローカルでパスワードを保存する意味はどこにあるのでしょう?
実際に、最近のアタックで用いられている手法はダークウェブなどで売られている「IDとパスワードのセット」を用いて行われていることが多いようです。
「それならば、余計にクラウドで管理することは危険じゃないか!」
とのお叱りもあるかもしれませんが、それはIDやパスワードを 「平文」 で保存しているセキュリティへの意識のかけらもない業者から漏洩しているからです。今回のBitwardenも含め、多くのパスワード管理サービスでは前述のように暗号化を施しており、仮に漏洩したとしても単なる意味のない文字の羅列が見られるだけです。
以前から本ブログでもお伝えしていることですが、これだけ多くのIDやパスワードを用いるサービスがある現状では、「IDとパスワード」による認証は限界を迎えつつあると思っています。 FIDO などによる生体認証への移行が急務ですが、その取組はウェブでは始まったばかりです。
だとしたら、当面はやはり「IDとパスワード」による認証を続けなければなりません。これからも増え続ける「IDとパスワード」を管理するには、やはり今回のようなパスワード管理サービスを利用することも一つの選択肢として検討すべきときなのかもしれません。
「Bitwarden」は前述のように「無料」で誰でもご利用いただけますので、この機会に是非ご利用になってみてはいかがでしょう?