パスワードを忘れた? アカウント作成
14090822 story
インターネット

効率的に不正接続を試みるリスト攻撃プログラムが見つかる 4

ストーリー by hylom
パスワードはサービスごとに変えましょう 部門より

流出したIDとパスワードの組み合わせリストを使ってほかのサービスへの不正ログインを狙う攻撃は「リスト型攻撃」と呼ばれるが、これを使ってメールアカウントを奪取し、さらにそのアカウントでやりとりされているメールの内容を自動で分析してネットバンキングや電子決済サービスなどの攻撃対象を自動分類するという攻撃プログラムが確認されたそうだ(NHK)。

問題の攻撃プログラムでは、メール内容から事前に使用しているサービスを特定することで試行数を減らして効率的に攻撃が行える。また、IPアドレスを自動的に変えながら攻撃を行う機能も付いているという。

このプログラムは、昨年5月に無届けで中継サーバーを運用しているとして摘発された中国人業者のサーバーから見つかったとのこと。また、このサーバーからは6500万件にも上るID・パスワードのリストも見つかっているという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年01月17日 21時01分 (#3746984)

    パスワードの使いまわしはするなと言われている以上
    一定数の人が使いまわしているのは想像がつくし、

    メールの内容を奪取できるなら、
    アカウント登録通知っぽいメール文からIDを抽出は
    思いつきそうだけど・・・

  • by Anonymous Coward on 2020年01月17日 22時35分 (#3747027)

    どのようにパスワードを保存しているか知る方法ってありますか?

    ・平文
    ・SHA1
    ・MD5
    ・password_hash()
    ・crypt()

    • by Anonymous Coward

      平文かもしれないし、可逆暗号かもしれないし、ハッシュかもしれない。個別に聞けば教えてくれるかも。

      例外的に、Have I Been Pwned [haveibeenpwned.com]のようにハッシュ化したパスワードを送信させていることがスクリプトやパケットキャプチャで確認できればそれとわかるし、パスワードリマインダーなどでパスワードを平文で送ってくるっぽいサイト [azurewebsites.net]は少なくともハッシュではないとわかる。プロバイダのPPPoE接続パスワードもCHAPの特性上、平文または可逆暗号化保存。

      いずれにせよ、パスワードを使い回さなければパスワードの保存方法を気にする必要はない。容易に変更できない個人情報の保存方法を気にするべき。

    • by Anonymous Coward

      相手の自己申告以外の方法は無いと思うけど、それを知りたい理由を知りたい。

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...