Internet Security - Trend Micro |
Trend Microは、「iCloudの情報漏えい報道から学ぶべきこと」において、先日から話題になっている海外有名芸能人のプライベート写真流出に関し、パスワード特定の方法や対策方法などを説明した。今回の話題に限らず、普遍的な知識として参考になる。
記事ではiCloudのパスワード特定には次の方法などが用いられた可能性があると指摘している。
- もともと簡単なパスワードが使われており容易に推測できる状態になっていた
- パスワードリセットの機能を利用し、「秘密の質問」で出される答えを推測してパスワードを取得した
- iCloudに関連したセキュリティやパスワードが比較的弱いアカウントを乗っ取り、そこから最終的にiCloudに到達した
- ほかのサービスと同じパスワードを利用しており、そちらのパスワードを使ってiCloudに進入した
- フィッシング詐欺を利用してパスワードを取得した
記事ではこうした手口に対して次のような対策を推奨している。
- 二段階認証や二要素認証などよりセキュリティ強度の高いサービスが提供されているのであればそちらを利用する
- パスワードの使い回しはしない
- 「秘密の質問」には本当に自分だけしかわからないものを設定する
- オンラインサービスにどのようなデータが保存されているかを把握する。ユーザがデータを削除してもそれが本当に削除されているとは限らない
- 総合的なセキュリティソフトウェアを導入する
Trend Microでは、パスワードの使い回しは危険であるものの、複数のパスワードを管理することの難しさについても指摘しており、同社の提供している「パスワードマネージャー」を利用するなどして負担軽減をはかる方法も推奨している。