最近、ポイントサイトへの不正ログインによるポイント交換が多くなっています。ポイ探ユーザにはサイドバーで不正アクセスに関するクイックアンケート(期間:2012/04/17~2012/04/27)を実施していますのでご協力をお願い致します。
ポイントサイトで直接情報が漏洩しなくても他のサイトで情報漏洩が起きた場合には影響があります。他のサイトで漏洩した情報でポイントサイトにアクセスし、ギフト券などに交換することでポイントが盗まれてしまいます。即時交換のポイントが狙われており、交換確認メールに気がついたら既にポイントが減っているという、非常に巧妙な手口です。
ポイントサイトなどではパスワードは定期的に変更して下さいとメールやWebサイトで注意を行なっていますが、なかなかパスワードの管理は大変です。そこで、ポイントサイトに登録する際におすすめな方法を書きたいと思います。
メールアドレス
ポイントサイトのユーザ登録時に登録するメールアドレスにおすすめなのがGmailです。Gmailはエイリアス機能がありますので、エイリアス機能を使って下さい。
エイリアス機能と書くと難しく見えますが、アカウントと@の間に+poitanのようなメールアドレスが有効です。例えば、「test@gmail.com」というメールアドレスがあったとします。この場合「test+poitan@gmail.com」というアドレスでもtest@gmail.comにメールが届きます。Aポイントは「test+apoint@gmail.com」、Bポイントは「test+bpoint@gmail.com」と登録することで、test+apoint@gmail.comが漏れたとしても、他のポイントサイトとログインIDが異なりますので被害は最小限におさえられます(漏洩による迷惑メールは届きますが)。
ポイ探のユーザ登録時に利用している方もいますが、まだまだ一般的では無いと思いますので、今回取り上げることにしました。
パスワード
パスワードもたくさん管理するのは難しいですので、ある一定のルールを作ります。まずは、どのサイトでも英字と数字の組み合わせにして下さいとか書かれていると思いますので、英字と数字を組み合わせたパスワードを作成します。例えば「test311」等です。そのパスワードにサービス名をつけます。ポイ探に登録する場合は「test311poitan」のような感じです。そうすることで、各サービスで違うパスワードになりますので、そのユーザが使っているサービス名が特定されなければ不正ログインされることはありません。
多くの場合、パスワードは暗号化され保存(復号化できない状態)されています。そのため、情報漏洩したからといって、簡単に不正アクセスされる事はないはずです。しかし、私も情報が漏れたことがありますが、そのサイトではパスワードが平文(暗号化されていない状態)で保存されていると言われました。ユーザにはシステムがどのように運用されているのかはわかりませんので、上記のようなルールでパスワードを設定してみてください。
早速ポイ探のメールアドレスやパスワード、暗号化キーを変更してみましょう。
パスワードを復号化できないのにログイン認証できるのはなぜ?
疑問に思われる方もいると思いますのでちょっと解説です。通常のサイトでは、「test311poitan」というパスワードを保存しているわけではなく、何らかの方法で「erhgaegasdg34tsdg124agadfhaerh34q」のように暗号化した状態で保存します。この「erhgaegasdg34tsdg124agadfhaerh34q」から「test311poitan」の復号化できませんので、もし「erhgaegasdg34tsdg124agadfhaerh34q」が漏れたとしてもパスワードの流出はありません。
元のパスワードがわからないのにログインできるのは、ログイン時に入力されたパスワードを再度暗号化して、「erhgaegasdg34tsdg124agadfhaerh34q」と比較することでパスワードが正しいか間違っているかを判断することが可能です。多くのサイトはこのように処理されているとおもいますが、中には「test311poitan」と保存されている場合もありますので、ログイン情報が流出した場合はパスワードを変更したほうが良いでしょう。
※ポイント自動管理のセキュリティ対策
・パスワード、暗号化キーは暗号化した状態で保存しており、システム管理者でも復号化することはできません。
・各ポイントサイトのID、パスワードはユーザ画面に表示することはありませんので、ポイント自動管理にログインしている状態でPCから離れてもID、パスワードは他人にわかりません。
ピンバック:セゾンカードの「Netアンサー」でセキュリティ強化 | 菊地崇仁ブログ「ポイ探社長のブログ」
ピンバック:最大2,200万件のIDが流出した可能性があるYahoo! JAPAN IDの状況確認ページが用意 | 菊地崇仁ブログ「ポイ探社長のブログ」
ピンバック:ニコニコ動画の「アカウント不正ログインの可能性がある」、の可能性とは? | 菊地崇仁ブログ「ポイ探社長のブログ」
ピンバック:個人情報は漏れるもの - それでもクレジットカードは怖くない | 菊地崇仁ブログ「ポイ探社長のブログ」