※いつものえんどう・テテラン日記の形式ですが、言いたいこと自体はかなり真面目です。
えんどう「セキュリティは大事だ。」
テテラン「どうしたのいきなり?」
えんどう「チームの一人がアカウントハックに遭ってしまったんだ。」
テテラン「まぁ…」
えんどう「本人がかきおきで報告していたのだが、それを見た同じチームの人が教えてくれた。」
えんどう「最悪パターンの家が土地がないとか、各種登録していたものが消されたとかっていうほどじゃないけど、物品は見事に被害が出ているようだ。」
テテラン「怖いわねぇ…犯人が憎いわ。」
えんどう「本人はまだおでかけ超便利ツールかブラウザのCookieが残っているからかログイン情報が保持されている限りはかきおきメモと日誌は何とか大丈夫そうなのだが…」
テテラン「でもいつか切れちゃうのよね…」
えんどう「そうなってしまうと本当に連絡手段がない。復旧してもらうよう依頼したらしいけど、数日かかるらしい。」
えんどう「…せっかくチームレベル上がった記念で新しい衣装の紹介をしたかったところだが、こういう事態なだけにもう一度セキュリティのポイントをまとめておこう。アストルティアに限らず、セキュリティは大事だぞ。」
<リアルラーの鏡を持とう>
・メアドは信じるな、Receivedを見よう
テテラン「一番も漏れる原因って、フィッシングメールよね。」
えんどう「メールの情報はいくらでも偽装できる。だから差出人のドメインが正規のものだからと言って必ずしも本物とは限らない。」
テテラン「じゃあどこで確認するのよ。」
えんどう「究極はヘッダ情報のReceivedを見たほうがよい。どのサーバーを経由して送られているかがわかるんだ。たとえ表向きは公式のドメインだったとしても、Receivedに書かれているI送信元のPは誤魔化せないからね。」
テテラン「へぇ~。」
・(上記に関連して)本物のIPを知っておく
えんどう「本物のほうのIP自体を知らないと意味ない。nslookupを使えばIPがいくつなのかがわかる。」
テテラン「ふーん…」
えんどう「ただし、IPを知る手段の間にも気を付けたい点がある。それは、DNSキャッシュポイズニングだ。」
テテラン「キャッシュ…毒…?」
えんどう「『そのドメイン=そのIPアドレス』っていう定義はDNSサーバーが持っている。ところが、悪い奴が攻撃をしてきて、『そのドメイン=偽のIPアドレス』に定義を書き換えてしまうんだ。」
えんどう「そうすると、ドメインが本物でも実際に飛んでしまうのは、偽のサイトになっちゃうんだ。そこで、偽のログイン画面が出てきてうっかり入力しちゃうと…」
テテラン「盗まれちゃうのね。」
えんどう「そういうことだ。」
テテラン「え…じゃあURLを見て本物かどうかを判断できなくなっちゃうんじゃないの?」
えんどう「だから鍵マークがついてて、ちゃんと『本物ですよ』っていう証明書があるわけなんだ。一般レベルでURLまで疑う必要はないけど、ごくごく稀にDNSレベルで悪さがあるとこういう目にも遭うから気を付けたいところだ。」
テテラン「あ、でも本物だってIPって変わることあるんじゃないの?」
えんどう「そういうこともあるけど、大規模なサービスとなると世界中のDNSの情報が更新されないといけなくなるから、頻繁に変わることはない。」
テテラン「ふーん…」
えんどう「レンタルサーバーとかだとまたちょっと別の話も絡んでくるからさっきの話が世界中の全てのWebサービスに対して活用できるわけじゃないんだけどね。」
えんどう「まぁ、『新しいプロバイダに変えました』とか物理的な移動に伴って本物側のIPが変わることだってあるから、その辺は注視しておこう。」
えんどう「ルーターのDNSキャッシュと、Googleなどが公式に提供しているオープンDNSで、同じIPを逆引きできるかとかやってみるといいかも。まぁ、上位のDNSが同じだと意味がないけどね…」
テテラン「そんなこと言ったら、世界に13台しかないルートサーバー別でやるしかないってことになるじゃないの!」
えんどう「…っていうのは極端な話。本当に上位のレベルで問題が起きたら社会的に大惨事なのだが、家庭のルーターのDNSキャッシュとかはよく狙われることあるらしいから気を付けよう。」
・何よりも、ワンタイムパスワードが重要
えんどう「上で言ったことは相当マニアックな手段になるけど、ワンタイムパスワードを導入してそもそも簡単にログインされないようにすることだな。」
テテラン「やっぱりこれよね。」
えんどう「長ーーーーーーーーーーーーーーーいパスワードとワンタイムパスワードは最大の守りだ。みんなも気を付けよう。」