中1少女が不正アクセス。でも、パスワードも安易だった。 92
ストーリー by next
友達のスーパーハカー 部門より
友達のスーパーハカー 部門より
kfsh曰く、"毎日新聞の記事より。9月23日中学一年生の少女が不正アクセス禁止法違反容疑で補導された。記事によると、「全国的に未成年者による不正アクセス事件は増えているが、ページ改ざん目的で中学生が摘発されるのは異例」とのことである。発端は、当該のアクセサリー販売サイトでの売買をきっかけとしたトラブル。その後、女性がサイト内の「取り引きをしたくない人」一覧に少女のネット上の呼称を載せたことで腹を立た少女がサイトに侵入し一覧の改竄等を行った。
以前にも女子中学生が不正アクセスをして補導されたが、今回はフィッシングサイト等手を込んだ方法を使った訳ではなく、IDからパスワードを推測する方法が使われた。アレゲな女子中学の仕業と言うより、商品売買業が安易なパスワードを使ったことが引き起こした事態ともいえる。
インターネット販売が一般的になるにつれてセキュティの甘いサイトが増え、同様の事件が増加していきそうで暗い気持ちになる。このような状態を避けるにはどうしていくのが良いのだろうか?"
安易なパスワード (スコア:5, おもしろおかしい)
がDBで管理されていて、DBのユーザ名が"scott"だったとか。
----------------------------------------
You can't always get what you want...
Re:安易なパスワード (スコア:1)
#とわざと外してみるテスト
パスワードは安易になるもの (スコア:3, すばらしい洞察)
これは人間一般の標準以上の能力を求めています。
リテラシーを身に付けるようにコストをかけるか、
パスワード以外のソリューションを適用するしかありません。
前者の方式は社会がそのコスト負担を受け入れないことは、インターネット一般化十年の経験が教えるところです。キャッシュカードでさえ「安易な暗証番号はやめましょう」と実効性ないことを未だに言ってるし。
後者はアイデア勝負な面があるので、誰かいいの考案してくれないかな。インフラになるから、特許とれば大儲けですよ。
パスワード以外の方法は? (スコア:1)
アクセス制御をするか、証明書+SSLを使うか、IPsecを使うか、など、この点から改善が必要かもしれせんね。
でも、ISPも、ホームページソフトも、新たなソリューションを用意してなさそうだしなぁ。
Re:パスワードは安易になるもの (スコア:1, おもしろおかしい)
ほら、ちんちんから出るタンパク質…あれ30億塩基対の情報があるから最強の個人承認だと思うのよ。
ただし入力が結構疲れる事と、その解析に時間が掛かるのが問題だけど。
#下品なのでAC
Re:パスワードは安易になるもの (スコア:1)
最強の個人認証の前に最強の個人情報ですよ
それにその鍵はいつ何処で他人に採取されるか分からないしね
脳味噌腐乱中…
ドキドキものですね (スコア:1)
どうでもいいけど (スコア:3, すばらしい洞察)
いった行為をアレゲと評するのを改めないとね。
売春を援助交際と言い換えるのと同じレベルだ。
まあまあ、釣られるない (スコア:1)
このストーリーはサービスだから、まずは見て落ちついて欲しい。
うん、「また萌えストーリー」なんだ。済まない。
萌えストーリー三倍コメントって言うしね、
いい加減やめてくれと言ってもやめるつもりはない。
でも、このページを見たとき、君は、きっと言葉では言い表せない
「ときめき」みたいなものを感じてくれたと思う。
殺伐としたセキュリティセクションの中で、そういう気持ちを忘れないで欲しい、
そう思ってこのタレコミを採用したんだ。
じゃあ、萌え排除以外の注文を聞こうか。
(ここまでnextの代言)
……
……
……冗談はさて措き「犬が人を噛んでもニュースにならないが、人が犬を噛んだら、それはニュースだ」とも言うでしょう。中学生女子が不正アクセスと言えば、アレゲ的にはニュースなんですよ。2006年現在では。齢百歳のご老体が不正アクセスしても、やっぱりニュースでしょうね。
パスワードが安易ってどのレベル? (スコア:2, 興味深い)
安易と言われても人それぞれ基準が違うので、こういう報道を見るたびに考えてしまう。
アレゲな人にしてみれば、giq1dmg9というパスワードでも、記号が入ってないから安易だとか言うかもしれないし。
Re:パスワードが安易ってどのレベル? (スコア:3, おもしろおかしい)
geek1体に9ポイントのダメージを与えた!
なんておぼえやすいパスワードなんだ。
Re:パスワードが安易ってどのレベル? (スコア:2, おもしろおかしい)
こんなところに書かないでくださいよ。
Re:パスワードが安易ってどのレベル? (スコア:3, おもしろおかしい)
Re:パスワードが安易ってどのレベル? (スコア:1, 参考になる)
Re:パスワードが安易ってどのレベル? (スコア:2, おもしろおかしい)
Re:パスワードが安易ってどのレベル? (スコア:1)
辞書に乗っているような単語はどれだけ長くつなげても安全とみなしてくれませんね。
おもしろいのは、"くぁwせdrftgyふじこlp" と入力しても脆弱と判定されること。
もしかしてMSの辞書には収録されてるのか?
# パスワードは大文字、小文字、記号を適当に織り交ぜて作りましょう
-- 環境負荷に配慮して言葉のオブラートを少なめにしています --
Re:パスワードが安易ってどのレベル? (スコア:4, 興味深い)
身近にある安易なパスワード [slashdot.jp]とか、
SSH サービスに対する攻撃について (PDF) [cyberpolice.go.jp]の6ページ「(イ) キーボードの配列パターンを列挙したパスワード辞書」も参照
Re:パスワードが安易ってどのレベル? (スコア:1)
実際には、大文字、小文字、数字、記号が適度に含まれているかどうかということを重要視するようですね。
キーボードの配列パターンを利用した攻撃も実際にあるというのは、参考になりました。
うむむ、無料のサービスだけど、安易なパスワード設定なのがあったな…、あとで変えとこう。
-- 環境負荷に配慮して言葉のオブラートを少なめにしています --
Re:パスワードが安易ってどのレベル? (スコア:1)
どの辺の辞書に載ってるかは別にして、
HTTP://www.microsoft.com
なんてのを入れると"最強"と判断してくれます。
大文字小文字と記号が混ざると
こんなパスワードでも強度が格段に上がるらしい。
パスワードの安易さによって (スコア:2, 興味深い)
なんて事になるのでしょうかね?
その場合、裁判所側がどの尺度で「安易」と見なすかが注目です。
弁護も何も (スコア:1)
Re:パスワードの安易さによって (スコア:1)
Re:パスワードの安易さによって (スコア:1, 参考になる)
それは被害者対管理者(金融機関)の関係においてであって、被害者対加害者の関係においては事件を誘発する過失がなければ被害者に過失があるとは認められないでしょう。
本件においてはパスワードの強弱に関係なく犯罪行為が開始されているので、被害者に事件を誘発する過失があるとは認められないでしょうね。
#被害者と管理者(ISP)との関係においてはありうる展開かも知れませんが。
Re:パスワードの安易さによって (スコア:1, 興味深い)
現代において法でそのあたりを決めるようなことにはいろいろと有るでしょうが、少なくとも啓蒙は必要でしょう。
Re:パスワードの安易さによって (スコア:1)
良いってもんじゃないんでした。
夜明けの腐った脳味噌でそれこそ安易に考えたのはまずかったですね。
となると、どう弁護するのかな?
「取り引きをしたくない人」一覧の呼称がIDなのか本名なのかによっても
違ってくると思うけど。
#なんてこれ以上寝ぼけた事を書かないように寝よう・・・
Re:パスワードの安易さによって (スコア:1, すばらしい洞察)
ま、ものによりけりってことだ。
管理責任 (スコア:1)
盗難の事実に関係なく、所有者には、事故の責任が及ぶ。
まあ、管理が甘かったとしても、
加害者の刑事的責任は変わらないでしょう。
でも、民事的責任は、加害者と管理者とで負うことになれば、
負担割合に応じて、加害者の負うものは軽くなるかな。
今回の件は、被害者=管理者だと思われるので、
管理が甘かったことによって被害が拡大されたと判断されれば、
加害者の民事的責任は軽くなるかもしれない。(かなり無さそうな気がするけど。)
でも、刑事的責任は変わらないでしょう。
とはいえ、未成年者なので刑事責任は追及されないかもしれない。
実際は、親の管理責任が問われるのかな。
Re:管理責任 (スコア:1, 参考になる)
> 負担割合に応じて、加害者の負うものは軽くなるかな。
それは被害者との関係においてであって、管理者が加害者に損害賠償を求めることを妨げるものではありませんので、加害者のトータルの負担は変わらないことになります。
#加害者が被害者に弁済した時点で無一文になると、管理者の負担は増えることにはなりますが。
ですので、
> 管理が甘かったことによって被害が拡大されたと判断されれば、
> 加害者の民事的責任は軽くなるかもしれない。
は有り得ません。
>とはいえ、未成年者なので刑事責任は追及されないかもしれない。
下の方でも書いている方がいますが、14歳未満は刑事未成年であり、責任能力が認められないため訴追の対象とはなり得ません。(刑法第41条 [e-gov.go.jp])
> 実際は、親の管理責任が問われるのかな。
12歳という年齢は民法第712条 [e-gov.go.jp]に定める責任能力があるか微妙なところではありますが、責任無能力と判断されれば民法第714条 [e-gov.go.jp]により親に監督責任が認められ損害賠償請求の対象となるでしょう。また、責任能力が認められる場合も、親に不注意があり、その不注意と損害に相当因果関係が認められれば民法第709条 [e-gov.go.jp]により不法行為責任を追求されることになるかと思います。
Re:管理責任 (スコア:1)
こう詳しく書いていただけると、本当に参考になります。
感謝!
安易なパスワード (スコア:2, おもしろおかしい)
悪の大幹部:12345!バカがトランクのカギに設定する番号じゃないか!
悪の総統:12345!私のトランクの暗証番号と同じじゃないか!
# リアル上司にこれやりそうになった。
# っつーか仮にもIT企業のトップがそんなパスワード使うなよ・・・
IDとパスワードの関連性 (スコア:1, 参考になる)
そもそも、IDからパスワードが類推できる、と言う発想がなかったので、何だか新鮮だった。IDとパスワードって絶対関連性を外す物だと思っていたからね。中学生の発想って柔軟だなぁとか、変なところで感心してしまった。実は世の中そういう場合が多いのか?
Re:IDとパスワードの関連性 (スコア:2, 参考になる)
> と言う発想がなかったので、何だか新鮮だった。
この件ではわかりませんが、
ID:hoge , PW:hoge とか
ID:hoge , PW:hogehoge とか
ID:hoge , PW:hoge0101 とか
そういうパスワードは多いと思います。
どんなに、パスワードは2ワード以上にしようといっても、そのうちの1ワードが ID と一緒では 1ワードと同じですね。
ちなみに
朝日新聞 [asahi.com]はと書いてあります。
Re:IDとパスワードの関連性 (スコア:1, おもしろおかしい)
ID : foo
PassWD : hoge
これを常用。
# ID とパスワードには全く関連性が無いような気がしています
Re:IDとパスワードの関連性 (スコア:1)
Re:IDとパスワードの関連性 (スコア:2, おもしろおかしい)
foo/bar って入れてダメだったら違うの試すよ。
Re:IDとパスワードの関連性 (スコア:1)
ID: 氏, PW: 名
というのがある。
昔のコンテンツ管理者は
パスワードとして平気でこういうの発行して
「仮パスワードだから、変更してくださいね」
とお願いするだけで変更しなくても操作できるサービスが多かった。
セキュリティー意識の低いユーザーはそのまま使い続けるわけで。
# やっぱりパスワードは、 ワイビkkr……ぐふ。
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
Re:IDとパスワードの関連性 (スコア:1)
だから、「キャッシュカードの暗証番号に誕生日を使わないように」という啓蒙が必要なんです。世の中、そんなものです。
# 「そもそも4桁の数字が」というツッコミは勘弁を。
IDとパスワードが同じ値だった可能性 (スコア:1)
パスワード設定を苦痛にしか感じられない人がそれを強制された際、
結果としてそのような設定をしてしまう事が、希にあるかと思いますので。
#自身の社内でも未だそうしてる人を希に見かけるので
#頭痛を覚えつつ都度注意していまス
安易なパスワード (スコア:1)
あとは本人の名前がそのままパスっていうのも聞く話です。
もしくはかっぷりんg…中一頃は腐女子だったID。
パスワードpの文字制限外してください (スコア:1)
心配だから。
#そういう自分はなるべく16桁以上のパスを使用。
#たまにloginパスとかがシェークスピアの文章だったりするけどID。
openDoe-Ming Ver.0.72.9beta
Re:FWもIDSもMACもAVもなーんにも要らないから (スコア:2, おもしろおかしい)
Re:FWもIDSもMACもAVもなーんにも要らないから (スコア:1)
まともなパスワードを設定しても、バッファオーバーフローなどの攻撃は防げない罠。
# だから MAC とかが必要になる訳で。
Re:FWもIDSもMACもAVもなーんにも要らないから (スコア:1)
Mandatory Access Control [wikipedia.org]
#ぐぐれ [google.co.jp] or Wikipedia [wikipedia.org]
Re:安易なパスワード (スコア:2, 参考になる)
パスワードではありませんが、 {日本姓}@{英単語}.co.jp ってアドレスを合成してばらまかれてた spam なら届いたことがありますよ。 辞書自体は既に存在しているんでしょうね。
Re:安易なパスワード (スコア:1)
破る先に適した辞書を探すor作るところから始めるから、あるんじゃないですか。
パスワードにUnicode使用可だといいかも (スコア:1)
ただし、入力が表示されないとハマりそうな気がしないでもない。
# CAPSはまっててパスワードが通らないという古典的なポカを親がやったけれどID
MIYAZAKI Yasushi
Re:パスワードにUnicode使用可だといいかも (スコア:1)
携帯とか使ってると、たまに強制sjisになってたりするし。
Re:パスワードにUnicode使用可だといいかも (スコア:1, すばらしい洞察)
IMEの学習データにパスワードが刻まれかねん。
Re:安易なパスワード (スコア:1)
山!川!
+=======------
| K.Hamaura a.k.a. SeyfertSluw
| 「SFはどこまで実現するか」 復刊希望は→http://www.fukkan.com/vote.php3?no=4901
Re:どうしていくのが (スコア:1)
どうしていくのがよいか?という問いに対して、
「犯罪なのだ」と教えることも大事と答えたわけですよね、もとのコメントを書いた人は。
そこにというコメントがついて、これに対して複数のACに「?」が灯っているのが今の流れですよね。
「xxするのが重要」というのと「xxするのも重要だけどyyするのも重要」というのでは、発言者の言いたいことは違いますよね?
# 俺もここで blockquote 引用した AC コメントの意図するところがわからん。
--
横から口出し