webサービスの不正ログインについて思うのだけれど。
ということで、ニュースでも流れていたけれど
どこかのWEBサービスでID、パスワードが一度漏洩すると
他のWEBサービスで不正ログインがおきやすくなる。
=下記 引用=
ー弊社が運営する「Ameba」にて、登録されたお客さまご本人以外の第三者による不正なログインが発生していたことを確認いたしました。不正ログインが発生していた期間は、2013年4月6日(土)~2013年8月3日(土)の間で、不正ログインの対象となったIDは、243,266件となります。
■不正ログイン概要
2013年4月1日(月)~8月8日(木)の期間を対象に弊社内で調査を実施した結果、以下の不正ログイン状況を確認いたしました。
<期間> 2013年4月6日(土)~2013年8月3日(土)
<件数> 243,266件 ※現在、調査中のため、件数が増減する可能性があります。
<該当するIDにおいて、閲覧された可能性のある情報>
「Ameba」に登録されたお客さまの情報 (氏名、ニックネーム、メールアドレス、生年月日、居住地域、性別など)
「Ameba」の仮想通貨「アメゴールド」「コイン」の履歴情報
※現時点では、本件に伴う個人情報流出被害や仮想通貨の不正利用など、お客さまからの被害報告は確認されておりませんが、引き続き調査中です。ー
=引用 終了=
ということなのだけれど、
このページを読むと、他社のサービスで漏洩した情報で 不正ログインしたと書かれている。
今現在、WEBサービスを新たに作っているので
ここらへんの問題は身につまされる。
Yahooも、mixiも、twitterも、facebookも、amebaも
同じID・パスワードの組み合わせで登録している人は多いと思う。
これだと、上記のどれかのWEBサービスで情報漏えいすると
他のサービスも不正ログインできてしまうことになる。
しかも 「メールアドレスで検索」可能なSNSだと同一人物をIDから特定できるので
同じパスワードで侵入できてしまうのです。
だから、基本は 会員の使い勝手は悪くなるが
会員自身がパスワードを決められないように
WEBサービスを作ることを考えたほうがいいということになる。
どうせ、漏洩した情報は裏で売られているのだろうし、それをもとに
プログラムで一斉にアタックされたら
不正ログインは簡単にできてしまう。
しかも会員情報をサーバから抜き取る作業は
迅速に行われるだろうけれど(そうしないと発覚して失敗する)、
その情報を使った不正ログインは
管理者側にわからせないために
時間をかけてゆっくりと 負荷を一斉にかけないように行われる可能性が大きいときている。
ネットワーク・パケットに流れるデータパターンから不正を検知するシグネチャーマッチング
にしても、不正データにマッチしてこそ異常と判断されるのだ。
つまり完全とはいえないし、対策にカネもかかる。
そんなことなら、パスワードを自分で決められない
とかのほうがよっぽどよいと思う。
利便性を考えるなら、クッキーやWEBDB
flash埋め込みとかいろいろあるわけだし・・・。
と AMEBA不正ログイン を読んで
思ったわけです。
ちなみに今回のAMEBAはこんな感じらしい↓
- 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践/徳丸 浩
- ¥3,360
- Amazon.co.jp