学校情報化の落とし穴 Vol.7

■ ソーシャル・エンジニアリング

職場で仕事をしていたC先生に電話がかかってきた。「県庁の方から電話しています。そちらの学校からは東北東の方角です。昨日,インターネットで非常に悪質なウィルスが発生していまして先生方のパソコンも感染するおそれが非常に高くなっています。対策を取るために県内の先生方のIDとパスワードをお聞きしております。先生のIDとパスワードをお知らせ下さい」との事だった。それは大変と思ってIDとパスワードを伝えた。


■ 教訓その7

IDとパスワードは他人に教えてはいけない

管理者がユーザにIDとパスワードを尋ねることは絶対にあり得ない。

実は情報を引き出す一番手軽で確実な方法はこうしたソーシャル・エンジニアリング(心理的な操作)だと言われている。被害が続いている振り込め詐欺(オレオレ詐欺)もソーシャル・エンジニアリングである。いくらニュースで見て予備知識があっても気が動転すると何の疑いもなく言われるがままになってしまうのが人間である。自分の気が動転していると思ったら,いったん電話を切って落ち着いてからこちらから電話をかけ直そう。

また同じパスワードを長期間使い続けるのは危険である。パソコンの処理能力をもってすれば時間さえかければどんなパスワードでも破られてしまう(それを防止するために何回か続けてパスワードを間違えると利用できなくなるなどの措置がとられることが多い)。強固なシステムでは一週間に一度パスワードの変更を義務づけるなどの措置が取られている。かといってパスワードを忘れないために紙にメモしてデスクの引き出しに入れておいてはセキュリティが低下してしまう。それでは良いパスワードは,どのように作れば良いのだろう。パスワードの求められる要件とは

  1. 生年月日・車のナンバーなど,予測可能なものはダメ
  2. 書き留めてはダメ(頭で記憶しておくだけにする)
  3. 既に他人が知っていてはダメ(辞書に載っている単語を片っ端から試す,パスワード破りソフトが存在する)
  4. 出来るだけ長い方が良い
例えば「私の息子は太郎で,母親の旧姓は田中で,家の部屋数は6部屋です」という意味のある内容を

「WatashiのSonはTaroで,Motherの9seiはTanakaで,IeのRoomは6部屋です」と置き換えて

「WSTM9TIR6」というパスワードを決定します。このように工夫すると他人からは推測されにくく,自分では覚えやすいパスワードを作ることができます。

 メインページへ戻る