本日、フレがアカウントハックに合いました。フレとは言ってもそれほど親しくしていたわけではないのですが、それでも身近なところでこうしてハッキングが起こるというのはすごく気持ちの悪さを感じます。
狙われたのは放置アカウントでした。件の彼女も、もう数ヶ月ログインしていなかったと思います。恐らく、トークンなども導入していなかったのではないかと。
自分が被害に合うまで現実のものとして危機感を持てない方はたくさんいるようです。僕は、身近な人がアカハックにあったのはこれで3例目で、今回は把握できていませんが、以前の2例はいずれもトークン未導入の方でした。
ハッキングはどうして起こるのか、という点が根本的にぴんときていない方は多いと思いますし、システムがもっとしっかりしないから悪い、と思ってる方もたくさんいるかもですが、これはどんなシステムでも起こりうる事態で、システムを一方的に責めるのはちょっと可哀想なんです。簡単に説明してみます。
通常のログインというのは鍵穴が二つと、それにはまるカギがひとつずつあって、一緒に使えば扉が開いて中に入れるイメージです。本当ならカギは本人しか持っていないはずで、しかもIDとパスワードという二つの鍵を両方とも揃えて初めて機能するはずなので、本来はそう簡単に扉があけられるはずは無いんです。
ところがリスト型ハッキングと呼ばれる手法では、そのカギとなるIDやパスワードを様々な手法で別のウェブサービス等から収集しておき、それらを組み合わせて鍵穴に全部指してみて開くかどうか確かめる、という行為が行われます。
IDとパスの組み合わせが固有のものだったとしても、それぞれを別のウェブサービスなどに使っていて、それらがデータとして収集されてしまうと、いずれはその組み合わせにたどり着けてしまいます。そして、ハックされます。
自分のIDとパスワードは流出していない、したことがない、と思うのは間違いで、ネット上に上げた情報のほとんどには、実は比較的容易にアクセスできるものですし、悪意や、自身の利益のために個人情報を流出させる輩も思った以上に普通に居ます。
要は通常のログインシステムというのは、ID+パスを要するようなサービスをいくつか使っている人でIDやパスワード等を少しでも共通化している人は、いずれ必ずハックされる可能性を持っており、現在ハックされていないのはたまたま順番が巡ってきていないだけなのだと理解すべきだと言えます。
さて、そこでセキュリティトークンですが、セキュリティトークンの理屈は大雑把に言うとあらかじめトークンに複数のパスワードが設定されており、それらの設定したパスワードを使うタイミングがサーバと共有されているという状態です。
めちゃめちゃたくさん鍵の付いた鍵束を渡されて、どの鍵が有効かは時間次第で変るんだけど、そのときに有効な鍵は鍵束を持ってる人(か、鍵穴の管理者)しかわからないわけです。
もちろんこの方法も完璧ということではありませんが、ID+パスワードのみに比べると飛躍的にセキュリティが堅固であることは間違いないと思います。
ハックされたって失うものなんてないよ、って方もいらっしゃるかもしれませんが、フレや、チームメンバーがハックされて、恐らく業者の手によって動いている様を見るのは、特に親しい人というわけではなくても結構嫌なものです。
ぜひぜひ、まだの方はセキュリティトークンの導入を検討されてみてください。