インターネット攻撃概論 第四回 パスワードの盗み方(1)   no comments

Posted at 3:00 pm in ネタ,日記

ども、こんにちは。山本です。

今日からは皆さんお待ちかね、実際のインターネットでの攻撃方法の解説に入ることにします。攻撃したい人たちはさぞかしわくわくしていることだと思いますが、その前に自分の学籍番号と、校内システムのパスワードを書いて回してください。いいですね。

(紙が回ってくる)

生徒1「先生、教務課に絶対他人に教えるなって言われてるんですけどー」
山本「はい。そうですね。君の言ってることは正しいですね。10点。」

学籍番号とパスワードを提出

 

今日の講義内容はこのようにパスワードを盗んで他人になりすまして、いろいろなところにアクセスするというやり方についてです。素直に学籍番号とパスワードを書いた人、ダメですね。これから私があなた方に成り代わってシステムにログインして、退学の届け出をしたいと思います。…え、ネットから退学はできないの? しょうがないなあ。

このように自分が見知った人でも、自分のパスワードを渡すと何が起こるかわかりません。今日のように、私のような見ず知らずの他人に渡すなんてとんでもないことですね。

人は気軽にパスワードを渡したがる生き物、とはいいませんが、面倒なのでパスワードをメモしてたり、簡単なものにしたり、どこでも同じパスワードを使ったりする人がとても多いです。今日の話とは関係ないですが、皆さんもだいたいパスワードは「1234」だったり、誰かの誕生日だったり、自分の名前だったりしますよね。あと、「password」みたいにそのものズバリな名前にしていることも多いみたいです。

このような面倒なことはやりたがらない人の性質を利用することは、パスワードを盗むためのとても有効なやり方です。これを専門的な用語で言うと、ソーシャルエンジニアリングといいます。マニアの中ではソーシャルと縮めて言われることが多いですね。ソーシャルだけじゃ何が何だか意味がわかりませんが、まあ、日本語なんてそんなものです。試験には出ませんが、たまに記事なんかで載っていることがありますので覚えておけばいいことあるかもしれませんよ。単純でばかみたいですが、本当に効果的… ではなくて盗まれる危険性が高いので注意したいところです。
ソーシャルエンジニアリングの手法には、まず、最初にわたくしが行ったように、うまいことパスワードを聞き出す方法があります。

ありがちなのは、会社の上司のふりをするとか、管理している人のふりをするとか、えらい人のふりをして聞くことです。直接だとなかなか成功しづらいので、電話やメール、今ならチャットで、ちょっと外出先なんだけど、パスワードを忘れてしまったので、パスワードを教えてくれないか? とか、強くするアイテムをあげたいんだけどそのためには君のパスワードが必要なんだよとか、調子のいいことをだまされやすい人にに言うとパスワードを教えてもらえるそうですよ。

ええから、はよ、パスワード教えてーな

あと、もう一歩進んだやり方として、相手にパスワードを変更してもらうという手法もあります。このパスワードにするとポイント3倍増えるらしいよ、みたいなクーポンと勘違いしたみたいな適当なことをいうと、オバカちゃんがそのパスワードに変更するらしいですよ。

次にのぞき見というやり方があります。画面に表示されているパスワードをちょっと覗いてみたり、パスワードを入力しているときの手元を見たり、電車で隣になった人の書いてているメールを見たり、さまざまなチャンスが転がっている… わけではなく、見られている危険が潜んでいますね。

電話で話しているパスワードもも聞き漏らさない

また、ありがちなのは自分がパスワードを忘れないように、画面に付箋を貼っている人ですね。これも見てメモしたり、いくらパスワードが長くてもちょいと付箋を拝借することでログインし放題です。特に会社や家庭などでは、まさか身内がパスワードとか盗むわけないだろう、ということでインターネットよりもオープンな人がたくさんいますので、そのぶんゲットする可能性も高まるというものであります。

その他に、のぞき見ではないですが、誰かのPCや携帯電話を勝手に使うという方法もあります。最近では毎回ログインするのも面倒ですから、ログインしたままにしている人も多いと思います。そういうPCだと、Webサイトにアクセスすると、自動的にその人のIDでログインすることになりますね。運がいいと(横線)セキュリティの甘いサイトだと、元のパスワードを聞かれずにパスワードの変更なんかができてしまいますので、自分の覚えやすいパスワードに変更しておくことで、自宅からだって、その人に成り代わってメール読んだり、誰かにコメントしたりできますね。大きなお世話ですね。

代わりに監視してあげる

もしPCにアクセスできた場合、パスワードをPCの中に保存しているなら、これを見たりコピーしたりすることもできます。私の知っている人にはexcel、□に数字とか文字とか入れて表とか作れるアレですね、アレにIDとパスワードをきっちり整理してる、非常にマメな人がいましたが、デスクトップに「パスワード.xlsx」なんて名前で保存してあって、そのファイルにパスワードがかかってなかったので、そのファイルをもらえば全部丸わかり、ログインし放題というケースもありました。

このようにPCや携帯電話に入られた場合はいろいろ大変ですので、パスワードはかけておきたいものです。ちなみにさっき机の上に置いてあった、スマートフォンをちょっとお借りしたので、ちょっと中身を拝見させていただいたのですが、パスワードもかかっておらず、いや、もう、何というか… いろいろ… あとケータイの場合、簡単ログインというのがあってこれまた危険…

生徒「あ、それ、あたしのケータイ、中身みんなよヴォケ!! 泥棒!」(奪って立ち去る)

携帯電話を放置しておくと危険っす

そして、もう少し凝ったやり方としてゴミ箱を漁るというやり方があります。これはスパイの人たちもやっている伝統的な手法です。のぞき見と違って、自分が中まで直接にアクセスする必要がなく、まあ、ゴミ捨て場までは行く必要があるのですが、あまり足が付きにくいやり方といえます。とはいっても、相手はゴミなので、きれいなまま捨てられていることは少なく、最近ではシュレッダーにかけられていることも多いですので、成功率としてはぐっと低くなりそうです。どうしてもその人やその会社を攻撃したいという、人生を賭けた執念が必要となってくるでしょうね。

ちなみにこのゴミ箱漁りのことを専門用語ではトラッシングといいます。趣味がゴミあさりではただの変態ですが、トラッシングだと、なにその私の知らない横文字の素敵な趣味マジリスペクトと思ってくれる人が数人くらいはいるかもしれませんが、なかなか理解してくれるパートナーを見つけるのは大変だと思います。

 

ゴミは実は宝の山かもしれません

このように、身近なところからでも簡単にパスワードが盗まれてしまうことがわかったと思います。
次回はパスワードのもう少し凝った盗み方についてお話しさせていただこうと思います。

Written by bogus on 5月 10th, 2012

Tagged with