WEBシステムに繋がりの薄いユーザーにはあまり知られていないかもしれませんが、つい先日、IT業界を揺るがせたニュースが報じられました。
- 暗号化ソフトSSLに欠陥、悪用狙い攻撃相次ぐ : IT&メディア : 読売新聞(YOMIURI ONLINE)
- ネット史上最大級のバグ発見。カナダは確定申告を緊急停止、危険度は10段階の11? – ライブドアニュース
- Heartbleed情報アップデート:国内でもHeartbleedを狙うパケットの増加を観測 – @IT
一般的なウェブサービスサイトなら、IDやパスワードを入力する画面にはSSL認証が使われていて、外部から読み取る事が出来ないよう、暗号化によって通信が行われています。
しかし、このSSLそのものにバグが発見された事が問題となっています。
何が起こったの?
銀行などの高いセキュリティを誇るウェブサイトでもSSL通信による暗号化によってセキュリティを高めていますので、銀行の口座番号、パスワード、クレジット番号、などが読み取られていた可能性があります。
このセキュリティ・ホールはおよそ2年前から空いていたものらしいので、悪意のある人たちによって読み取られていた可能性があります。
できる対策は?
現時点で個人ができる対策は無いと言って良さそうです。
というのも、個人側がセキュリティを高めても、WEBサービス提供会社が問題を修正しない限り通信情報が読み取られる可能性があるためです。
既にGoogleなどの大手企業では対策が完了しているとの発表を行っていますが、一般的なWEBサイトがどこまで対応出来ているかは、一般的なインターネットユーザーでは知る方法がありません。
できる対策は? 2
提供会社がどのようなセキュリティ対策をしているかは分からないので、リスクを最小限にする方法としては、自分自身がしっかりとした意識を持つ事が大切です。
とくに複数のウェブサービスで共通のIDやパスワードを利用することは大変危険です。
これは例えば、『サイトA』が悪意のあるユーザーに監視されていて、該当サービスを利用した場合、パスワードなどの個人情報が抜き取られる可能性があります。
悪意のあるユーザーは、取得した情報を元に、大手のウェブサービスや金融機関にログインする事ができるかどうかをプログラムを使って試みます。
銀行口座にログインができてしまった場合は・・・。
こうして被害が拡大してくのを防ぐ為には、読み取られた情報以外の場所では使えない状況を作っておく必要があります。
『サイトA』と『サイトB』が異なるパスワードなら、万が一『サイトA』の情報が読み取られたとしても他のサービスに影響が出る可能性は極めて低いので被害を最小限にとどめる事ができます。
利用するサービスごとにパスワードを変える
と、言っても、日頃から使っているウェブサービスは1つや2つではないので、全てのパスワードを変え、それを記憶しておくのは現実的に不可能です。
サイトごとに発行されるパスワードをエクセルに保存し、Dropboxなどのクラウド上にアップしておけば、どこからでも見れますが、クラウドサービスを過信しすぎては危険すぎますし、エクセルなどにパスワードでロックをかけても専用のソフトがあれば簡単に開かれてしまいます。
同様にEvernoteに保存するのも避けた方が懸命だと判断しました。
いろいろ考えていたら、数年前からパスワード管理ソフトとして、時々レビュー記事をみかけていた『1Password for mac』の存在を思い出しました。
ただ、このソフトは2500円もする高いアプリの為、以前は必要性を感じていなかったので見送っていました。
他にもパスワード管理アプリはあるのですが、mac+iPhone+Windowsで同期する事ができ、セキュリティ面で優れたものはこのアプリしか無さそうだったので購入してみました。
1Password
1Passwordでできる事
1Passwordは、ウェブサービスURLとログイン情報を記録し半自動で管理してくれるパスワード管理ツールです。
入力したIDとパスワードは、次にログインする時に呼び出す事ができます。
管理画面は意識して使う事はあまりありませんが、開くと、重複したパスワードの一覧などが「危険ですよ!」と表示されるので、変更をする目安になります。
ほとんどがブザウザのプラグイン経由で使う事になります。
例えば、Google Chromeの場合、Chrome用プラグインをいれておけば、はじめてログインした時に
ログイン情報を1Passwordに保存するかのウィンドウがポップアップで表示されます。
保存を押せば、情報は後から呼び出す事が容易になります。
次回Yahoo Japanへログインする時には、
鍵マークをクリックすれば、保存されたログイン情報の中からYahoo Japanに該当するものだけが表示されるので、使用したいアカウントをクリックするだけです。
また、自分で作成するパスワードはどうしても簡易的で推測しやすいものになってしまいますが、
1passwordのパスワードジェネレーターを利用すれば、5文字から30文字までのランダムな文字列を生成する事が可能です。
複数デバイスでの管理が楽
マルチデバイスでネットをしている方は多いですが、こんな場合も各デバイスで保存された情報が同期されるので、メイン端末と同じように使う事ができます。
難点は端末ごとにアプリを購入する必要があること。mac版+iPhone版で3400円になります。
端末を紛失したら?
アプリにログインする為にはメインパスワードを入力する必要があり、これを入力しなければアクセスする事ができません。(PCにログインしただけでは見れない)
ですが、メインパスワードが突破されると一元管理している情報の全てが見えてしまうので、ランダムな文字列で絶対に推測不可能な強固なパスワードに設定する必要はあります。
また、アイドル時間を設定できるので「5分後には再度メインパスワードを入力しなければならない」などの設定もできます。
PCがクラッシュしたりデータを紛失したら?
万が一の為にバックアップを取っておくのが良さそうですが、あくまで万が一の為のものなのでクラウド上に保存する事はしないほうが良いと思います。
僕は、外付けHDD(常時ネットに繋がっていない)に適宜バックアップをとっています。
関連:外付けハードディスクの選び方から撮影・編集現像・管理の安心簡単なワークフロー
1passwordレビューのまとめ
購入時はその金額から躊躇しましたが、正直、もっと早く買っておけばよかった代物です。
セキュリテイ強化の部分は、パスワードの使い回しをしなくて済むので、すぐに体感できると思いますが、複数ブラウザや端末に細かく対応しているので、普段ログインする利便性が格段に向上します。
安全な通信の代名詞SSLに穴があったのは個人的に結構驚きました。
『大きい会社だから安心』『みんなが使っているから』といった考えはこの先ますます通じなくなってくると思うので、自分自身でしっかりと管理しなければいけませんね。
1password mac版
iPhone版
Windows版
アンドロイド版