最近の不正アクセス相談事案
個人の場合
Aさんの場合
- オークションのユーザIDとパスワードを誰かに使用された結果、大量の商品を落札された。
- パスワードの推測によるなりすまし。
- 反省点
安易なパスワード(例えばユーザIDがromeo1762で、パスワードが1762)を使用していた。
Bさん、Cさんの場合
- オンラインゲームオークションのユーザIDとパスワードを誰かに使用された結果、ユーザのゲーム内でのお金や、アイテムを盗られた。
- パスワードの推測によるなりすまし、他人に漏らした(パスワードを盗むソフトを使われた)等。
- 反省点
安易なパスワード(例えばユーザIDがromeo1762で、パスワードが1762)を使用していた。
他人にパスワードもしくパスワードを推測できる事項を教えた。
パスワードはネット上で、本人であることを判別する非常に重要なものです。他人に知られないよう、推測しにくいパスワードを使用し、定期的に変更するよう心がけてください。
企業の場合
A社の場合
- WWWサーバが外国から不正アクセスされ、ホームページの改ざんをされた。
- 侵入方法不明。
- 反省点
- OSはWindowsNT4であったが、修正プログラムが適正に当てられていなかった。
- ウィルス対策ソフトが入っていなかった。
- 数年前に流行したCODEREDに感染しており、被害者であると同時に加害者にもなっていた。
B社の場合
- 外国から、FTPサーバの不正アクセスを受け、ファイルの蔵置場所に使われていた。
- ユーザID・パスワードの総当たり攻撃を受けた結果パスワードを盗まれた。
- 反省点
- 普段からの保守管理が適正にされておらず、1年以上前から、全世界からFTPへのアクセスがあった。
- 管理者権限のユーザ名を既定の名前から変更していなかった。
- パスワードが推測されやすい文字を使用していた。
- ファイアウォールを使用していなかった。
- 1台のPCに固定IPを割り当てた上で、不要なサービスを立ち上げていた。
C社の場合
- 不正アクセスとして相談を受けたものの、不正アクセスは無かった。
- 機器の時刻が数時間ずれており、また機器のメッセージを誤解した。
- 反省点
- システム保守用のダイアルアップ回線のユーザIDとパスワードが、全て同じものを使っていた。
- ルータの設定が初期値のままで、セキュリティ対策がされていなかった。
- システムログが保存されていなかった。
いずれの事案でもシステムが動作することを優先としており、基本的なセキュリティ対策がされていませんでした。
セキュリティ対策を全てに優先する必要はありませんが、導入時や変更・更新時に一手間かけることを心がけてください。