攻撃者が実際にオンラインで「アカウントをハッキング」する方法と自分自身を保護する方法
人々は自分のオンラインアカウントが「ハッキングされている」と語っていますが、このハッキングはどのようにして起こるのでしょうか。現実には、アカウントはかなり単純な方法でハッキングされています - 攻撃者はブラックマジックを使用していません.
知識は力である。アカウントが実際にどのように侵害されているかを理解しておくと、アカウントを保護し、最初からパスワードが「ハッキング」されるのを防ぐのに役立ちます。.
パスワードの再利用、特に漏洩したもの
多くの人 - おそらくほとんどの人 - が異なるアカウントにパスワードを再利用します。一部の人々は彼らが使用するすべてのアカウントに同じパスワードを使用するかもしれません。これは非常に危険です。 LinkedInやeHarmonyのような大きくて有名なWebサイトでさえも、過去数年間にパスワードデータベースがリークされています。ユーザー名と電子メールアドレスと一緒に漏洩したパスワードのデータベースはオンラインで容易にアクセス可能です。攻撃者は他のWebサイトでこれらの電子メールアドレス、ユーザー名、およびパスワードの組み合わせを試して、多くのアカウントにアクセスすることができます。.
電子メールアカウントにパスワードを再利用すると、攻撃者がアクセスした場合、電子メールアカウントを使用して他のすべてのパスワードがリセットされる可能性があるため、さらに危険にさらされます。.
たとえあなたがあなたのパスワードを安全にするのが得意であるとしても、あなたはあなたがあなたが使うサービスがあなたのパスワードをどれほどよく安全にするかを制御することができません。パスワードを再利用して、ある企業が転職した場合、すべてのアカウントが危険にさらされます。あなたは至る所で異なるパスワードを使うべきです - パスワードマネージャはこれを手伝うことができます.
キーロガー
キーロガーはバックグラウンドで実行される可能性がある悪意のあるソフトウェアで、キーストロークはすべて記録されます。クレジットカード番号、オンラインバンキングのパスワード、その他のアカウントの資格情報などの機密データをキャプチャするためによく使用されます。その後、インターネット経由で攻撃者にこのデータを送信します。.
たとえば、インターネット上のほとんどのコンピュータのように古いバージョンのJavaを使用している場合、Webページ上のJavaアプレットを介して侵入される可能性があります。ただし、他のソフトウェアに偽装して届くこともあります。たとえば、オンラインゲーム用のサードパーティ製ツールをダウンロードできます。このツールは悪意のあるものである可能性があります。あなたのゲームのパスワードを取得し、それをインターネット経由で攻撃者に送信します。.
適切なウイルス対策プログラムを使用し、ソフトウェアを常に最新の状態に保ち、信頼できないソフトウェアをダウンロードしないようにします。.
ソーシャルエンジニアリング
攻撃者はまた、一般的にソーシャルエンジニアリングのトリックを使ってあなたのアカウントにアクセスします。フィッシングはソーシャルエンジニアリングの一般的に知られている形式です - 基本的に、攻撃者は他人になりすましてあなたのパスワードを尋ねます。一部のユーザーは自分のパスワードをすぐに引き渡します。ソーシャルエンジニアリングの例をいくつか紹介します。
- あなたは自分の銀行からのものであると主張する電子メールを受け取り、あなたを偽の銀行ウェブサイトに導き、あなたにあなたのパスワードを記入するように頼みます.
- あなたは自分自身を認証するためにあなたのパスワードを送るようにあなたに求めて、公式のFacebookアカウントであると主張するユーザーからFacebookまたは他のソーシャルウェブサイト上でメッセージを受け取ります。.
- Steamでの無料ゲームやWorld of Warcraftの無料ゴールドなど、貴重な情報を提供することを約束するWebサイトにアクセスします。この偽の報酬を得るために、ウェブサイトはサービスのためにあなたのユーザー名とパスワードを要求します.
パスワードを誰に渡すかに注意してください。電子メールのリンクをクリックして銀行のWebサイトにアクセスしたり、連絡して要求した人にパスワードを渡したり、信頼できないアカウントの資格情報を与えたりしないでください。ウェブサイト、特に真実であるためには良すぎるように見えるもの.
セキュリティの質問に答える
セキュリティの質問に答えることで、パスワードをリセットすることができます。セキュリティの質問は一般的に信じられないほど弱いです - 「あなたはどこで生まれましたか」、「どの高校に行きましたか」、「あなたの母親の旧姓は何ですか」などのことがよくあります。一般にアクセス可能なソーシャルネットワーキングサイトでこの情報を見つけるのは非常に簡単なことが多く、ほとんどの普通の人々は尋ねられた場合、どの高校に通ったのかを教えてくれるでしょう。この入手しやすい情報を使用して、攻撃者はパスワードをリセットし、アカウントにアクセスすることができます。.
理想的には、セキュリティ上の質問に、簡単には発見も推測もできない答えを使用するべきです。 Webサイトでは、セキュリティに関するいくつかの質問に対する回答を知っているからといってアカウントにアクセスできないユーザーもいます。.
メールアカウントとパスワードのリセット
攻撃者があなたの電子メールアカウントにアクセスするために上記の方法のいずれかを使用するならば、あなたはより大きな問題に直面しています。あなたのEメールアカウントは一般にオンラインのメインアカウントとして機能します。あなたが使用する他のすべてのアカウントはそれにリンクされており、Eメールアカウントにアクセスできる人は誰でもEメールアドレスで登録した任意の数のサイトであなたのパスワードをリセットするためにそれを使用できます。.
このため、電子メールアカウントはできるだけ保護する必要があります。固有のパスワードを使用して慎重に保護することが特に重要です。.
「ハッキング」とは違うパスワード
ほとんどの人は、攻撃者が考えられるすべてのパスワードを自分のオンラインアカウントにログインしようとしていると想像しています。これは起こりません。あなたが誰かのオンラインアカウントにログインしようとしてパスワードを推測し続けた場合、あなたは遅くなり、一握りのパスワード以上のものを試すことを妨げられるでしょう。.
攻撃者がパスワードを推測するだけでオンラインアカウントに侵入することができた場合、パスワードは最初の数回の試行で推測できる明らかなものである可能性があります(「パスワード」や個人のペットの名前など)。.
攻撃者が自分のデータにローカルにアクセスできる場合にのみ、このようなブルートフォース方式を使用できます。たとえば、Dropboxアカウントに暗号化ファイルを保存していて、攻撃者がそれにアクセスして暗号化ファイルをダウンロードしたとします。その後、彼らは暗号化をブルートフォースすることを試みることができます。.
自分のアカウントが「ハッキングされた」と言う人は、パスワードを再利用したり、キーロガーをインストールしたり、ソーシャルエンジニアリングのトリックの後に自分の資格情報を攻撃者に与えたりする罪がある可能性があります。彼らはまた容易に推測されたセキュリティ問題の結果として妥協されたかもしれません。.
適切なセキュリティ対策を講じる場合、アカウントを「ハッキング」するのは簡単ではありません。二要素認証を使用することも役に立つ可能性があります - 攻撃者は、入るためにあなたのパスワードだけでなくそれ以上を必要とするでしょう。.
Image Credit:FlickrのRobbert van der Steeg、Flickrのアセナート