突然ですが、普通のスキルしか持たない人間が、ネット上で他人の情報やパスワードを盗む事は可能でしょうか?こう質問されたなら、私はこう答えます。「頭を使えば可能性はある」と。そこで今回は侵入する立場になって、他人のパスワードなどを盗む方法について解説します。
メールのパスワードは特に難しい作業や特殊なソフトを使わなくても、盗み出せる可能性があります。ここでは日本で一番ユーザー数を誇ると思われる「ホットメール」を例に考えてみましょう。
こういったWebメールではサービス利用者がログインする場合、ログイン名とパスワードを入力して本人確認を行ないます。ログイン名を忘れる人はいないと思いますが、パスワードを忘れる人がたまにいます。それがプロバイダのアカウントでしたら、葉書を送るなり電話で問い合わせるなりして対処出来るのですが、無料サービスで利用者が多いWebメールなどではそうはいきません。今回はホットメールを例に出しますが、他のサービスでも同じような方法を取っているところもあります。参考程度にどうぞ。
■秘密の質問を逆手に
パスワードを忘れた場合の救済処置として、秘密の質問に答える方法がとられています。これはパスワード以外に設定する第2のパスワードのようなもので、既に用意されている質問の中から1つを選び、その質問の答を自分で設定します。
指定される質問は「大好きなペットの名前は?」や「お気に入りの映画は?」などで、それに答えると忘れてしまったパスワードは破棄して、新しいパスワードを再設定する事が可能になります。 この秘密の質問を逆手に取ることで、侵入できる可能性があります。
秘密の質問選択画面
質問は全部で9問。答えは自由に設定できますが、質問自体は限られているのがミソです。まずこの質問をいくつかに絞る作業を行ないます。質問が何種類も用意されていても、皆がバラバラの質問を選ぶとは思えません。必ずどれかの質問に偏るはずです。 私の場合なら「お気に入りの映画は?」と「大好きなペットの名前」の二つに絞ります。これならパスワードを盗みたい対象者から情報を抜き出しやすそうですし、掲示板やチャットで聞いても不審に思われにくいでしょう。そして実際問題この二つの質問を秘密の質問にしている人は多いです。
■色々と聞き出してみる
例えばの話ですが、映画の話題専門のチャットがあったとします。そこにいたNさんは、踊る大走査線という映画が大好きだとチャットで話してしました。そのNさんはホットメールアカウントを持っており、Nsan@hotmail.comだったとしましょう。
それでしたら秘密の質問は「お気に入りの映画は?」になり、答えも推測しやすくなります。下手をしたらアカウントのパスワード自体が踊る大走査線関連の単語かもしれません。出演者名・レインボーブリッジ・お台場・監督名などが推測されます。
しかし例え話のように上手く話が進まないのが世の常です。掲示板やチャットなどで「好きな映画は何?」や「ペットの名前教えて」と突然質問しても警戒されてしまうので、そこら辺はうまく聞きましょう。たとえば「昨日"タクシードライバー"という映画を観たけど面白かったよ。俺の中で一番だな」と話を切り出せば、相手も「あの映画もいいけど俺の好きな映画は"****"だよ」と話が流れるかもしれません。
最初は関係ない話から入って、徐々に核心に入っていくのがベターだと思います。ペットの名前にしても聞き出し方は一緒です。 だいたい聞き出せたら、そこから推測される答を試していきましょう。出来る事なら映画専用掲示板や、ペット関係のチャットなどに行くと効率が良いでしょう。
こういうのは「絶対パスワードを盗んでやる!!」という気持ちで行くよりも、「いつも通りチャットを楽しむか。ついでにパスワードを盗み出せるかどうか遊んでみよう。」
■対象者
メール・アドレスのパスワードを盗む場合、対象者はいろんなところにいます。掲示板からチャットはもちろん、やり方次第で幅は広がっていきます。たとえばWinMXなどの共有ソフトなら、交換している相手ユーザーに「メッセで交換しませんか?」と誘い出すことも可能です。そのときに相手の共有フォルダにある映画やアニメのタイトルを控えたり、上手に話を切り出して色々な情報を聞き出したりしていきましょう。
なお、各種情報を聞き出すのに絶対必要なのは「話し方」です。これが駄目なら何も聞き出せないので、細心の注意を払ってください。
■パスワードの再設定
余談になりますがホットメールでは秘密の質問に答えた場合、正規のパスを教えてくれるのではなく新しくパスワードを設定し直す方式が取られています。ある日ホットメールをみようと思ってログオンしたら「パスワードが違います」と表示されるかもしれません。
パスワードの再設定画面
再設定で再度「秘密の質問」を作る
■個人情報は流さない
この地球上に「お気に入りの映画は?」と質問された時に、「キムチ鍋」と答える人いないでしょう。つまり、質問と関連性のない答にするのが、いちばん効果があるのではないでしょうか(もっともこのパスワードも忘れてしまったらお終いですが)。
また、ネット上では嘘つきになりましょう。私自身もあるときは猫好きになりますが、気分次第では犬好きです。特に自分のサイトを持っている方などは、あまり自分の情報を流さないように注意しましょう。流すにしても本当半分・嘘半分ぐらいでいきましょう。
またアカウント取得時に、住んでいる国を設定する項目があったと思います。ここで日本を選ばずに、他の国を選びましょう。というのもパスワードを再設定すると気に、第1の質問で電子メールアドレスと住んでいる国を確認します。ここで違う国を選んだら、第二の項目(秘密の質問)に進む事が出来ません。選択可能な国はかなり沢山ありますので、その中から適当に選んでください。これだけでもかなりの防御策になるはずです。
■ 時の流れは残酷だった
さて、ここで衝撃的な事が判明しました。この原稿を書いたのは一年程前になるのですが、この一年で秘密の質問に変更が加えられたのです。その変更とは質問事項を選択肢から選ぶのではなく、質問自体を自分で設定できるようになってしまったのです。
これでパスワードが盗みやすくなったか、盗みにくくなったかは分かりません。ただ秘密の質問に答えるよりも、直接パスワードを推測した方が簡単になったような気もします。
サイト運営者なら、もう少し簡単にパスを盗める可能性があります。それは会員制サイトを作ることです。別に会員制サイトでなくとも、会員制掲示板でも何でもかまいません。要はユーザー名とパスワードの入力が必要な状況を作ればいいわけです。ただの会員制ではつまらないので、ファイルなどを餌にすれば人も集まりやすくなるでしょう。会員制BBSなどはCGI配布サイトに行けばあります。
会員制サイトの入り口
対象者のユーザー名はこちらで決めてもいいのですが、パスワードはそうはいきません。
メール・アドレスが分かっているのなら、対象者に「パス付きの会員制サイト(裏サイト)をつくりました。興味がありましたら、ご希望のユーザー名とパスワードをメールで送って下さい」とメールを送れば準備完了です。
■対象者を絞らない場合
メール・アドレスが分からない場合や誰でもいい場合は、「会員制サイトを作ります。会員になるのに特に制限は設けておりませんので、ご希望の方はメールでユーザー名とパスワードを送って下さい」とサイトに書いておきましょう。
この場合対象者から送られてきたメールを見れば、メール・アドレスは分かります。更にそのメールにはパスワードが載っています。相手が用心深い人で、用途に応じて各種パスワードを使い分けている人ならこの作戦は失敗です。もし相手がパスワード管理にズボラな人ならば、こっちのものです。特に最近は自動ログインのおかげで、パスワードの管理に気を使う人が少なくなりました。
たとえば、送られてきたメール・アドレスが「mild7@hotmail.com」パスワードが「air-ug」と書いてあったのならば、ホットメールユーザー名は「mild7」パスワードは「air-ug」となりうる可能性があります。
■応用編
これでメールアカウントのパスワードが分かっても分からなくても、これだけで満足するのは資源の無駄使いです。
対象者がサイトを持っているかもしれません。オークションを利用しているかもしれません。その他「パスワード」を必要とするサービスを利用しているかもしれません。色々と探っていきましょう。
ヤフーオークションでの話ですが、パソコンに不慣れな知人に商品を出品してくれと頼まれた事があります。断る理由も無いので、商品を出品しました。しかし知人が思っていた値段よりもかなり低い価格でオークションが終わりそうになったので、焦った知人は「なんとか値段を上げれないか?」と言ってきました。普通なら「そういう値段吊り上げもオークションの醍醐味だけど、あまりしない方が良いよ」と言う所なのですが、気が変わったのでこう返答しました。
「値段は吊り上げられるけど、俺のオークションIDじゃ無理だ。他のオークションIDがあれば良いんだけど・・・」
すると知人は知り合いと連絡を取り、数分後には知り合いのヤフーIDとパスワードを手に入れて「これで何とか値段吊り上げてくれ」と私に言ってきたではありませんか。確かに残り時間が僅かで、知人の知り合いがパソコンの前にいなかったのでしょうがないかもしれませんがこのパスワード管理のずぼらさは素晴らしいものがあります。
物凄い技術でパスワードを盗み出したり、今回紹介したような方法でパスワードを手に入れなくても、普通に聞けばスワードを手に入れる事が出来るかもしれません。
今回の方法、つまり下手な鉄砲を撃ちまくる作戦ですが、根気よく効率的にやればヒットする可能性があります。あなたが思っている以上に、パスワードの管理に甘い人は腐るほどいますから。今回の記事で分かったと思いますが、パスワードの管理は気をつけましょう。特に全てのサービスに同じパスワードを使っている人は要注意です。