中国に「百度」という検索サイトがありますが

あそこのアカウントを登録して使用していたところ、
いつのまにか設定項目や写真が書き換えられており、自己紹介欄に「アカウントを乗っ取ってやったぜざまーみろ」みたいな意味の中国語が書いてありました。

すぐに設定を修正して、パスワードも変更したのですが・・・


皆さんは海外や国内のネットサービスを利用していて
アカウントが乗っ取られた、という経験はありますか?


また、いったいどうやってパスワードを知ることができたのか、その仕組みを教えてください。
(もちろん悪用するわけではなく、自衛のための知識として知っておきたいので)


良回答者が報われるようにポイント配分はきちんと行うようにしております。皆さん奮ってご回答ください。

回答の条件
  • 1人3回まで
  • 登録:2006/07/18 18:54:52
  • 終了:2006/07/24 15:04:27

回答(3件)

id:Kumappus No.1

くまっぷす回答回数3784ベストアンサー獲得回数1852006/07/18 19:17:33

ポイント30pt

乗っ取られた経験はないです。

アカウントを盗む方法はいろいろあって、ざっと思いついただけでも

  • キーロガー インターネットカフェなどのPCに仕込まれたり、場合によってはバックドア経由で個人のPCに仕込まれるケースもあり。打ったキーを記録して送る。
  • ワームに仕込む 上記と同じような手だが、暴露ウイルスなどのように個人のPCの特定領域(例えばブラウザのパスワード管理領域など)を送る。そういう領域は暗号化されていることが多いが、暗号の脆弱性を突いてくる可能性も高い。
  • セキュリティホール ブラウザやOSのセキュリティホールを狙って、上記のような手段での侵入を行う
  • フィッシング 偽のサイトに誘導してアカウントとパスワードを入力させる
  • ソーシャル・エンジニアリング 人力でだます、盗み見るなどの方法。例えばあなたがキーを打っている後ろからのぞく、とか管理者のふりをして電話などで聞き出すとか…
  • サイトのクラッキング アカウントが登録されているサーバ側をクラックしてアカウントを盗む。サーバのセキュリティの甘さや作り方のミスによって容易にやられることがある(よく「個人情報が流出」しますよね)。内部関係者の犯行のケースもある(中国を差別するわけではないが、この可能性も高いんじゃないかと…)
  • Brute Force Attack 総当たり。ただし辞書にある単語の組合せだと結構な割合で当たる。またもちろん誕生日や名前の一部をアカウント、パスワードに使ったりすると危険性は増加する。

などがあります。

で、問題なのはこういうアカウント+パスワード、また脆弱性の情報などはネット上に出回って永遠に消えないことです。アカウント名などは一種の「顔」みたいなものなのでどうしてもあちこちで同じものを使ったりしますし、パスワードの傾向も同じユーザであれば似てしまいます。ですのでまた他の悪人にアタックされてしまうことも多いのです。

id:tian_x2001

なるほど。詳しい解説ありがとうございました。

今回の場合6番目の「サイトのクラッキング」っぽいですね。

おっしゃる通り、中国だからと差別したくはありませんが

特に「百度」は先日も部署ごと人員を大量解雇したり、いろいろひどい人事をやってるみたいなので

内部犯行かもしれないですね。。。

「百度知道」という中国版はてなみたいなところで

日本語に関する質問にいろいろ回答していたのですが、それで反日の人に目を付けられちゃったのかな、という気もします。

2006/07/18 19:29:51
id:KirakiraHikaru No.2

KirakiraHikaru回答回数354ベストアンサー獲得回数682006/07/18 19:28:40

ポイント25pt

私自身はアカウントを乗っ取られたことはありません。

パスワードを難しいものにしておけば、以下であげるパスワードの総当りには対応することができます。


アカウントの乗っ取る方法はいろいろありますので、

これだということは断定できないですが、下記のような方法が考えられます。

(以下は例なので、それ以外の方法で行われた可能性もあります)


アカウントの情報を入手し、その情報を使って勝手にログイン

アカウントの情報を入手する方法としては、

・そのサーバーの関係者から流出した情報

・サーバーの脆弱性(バグなど)をついた攻撃を行い、管理者権限で操作

 (OSやインストールされているプログラムのアップデートを頻繁に行っていない場合はこの危険性が高まる)

 下記に紹介されているような日々発見される脆弱性を攻撃者は狙ってくる

 http://www.ipa.go.jp/security/ciadr/top-j.html

・コンピュータプログラムによるパスワードを総当りでログインを試みる

 (パスワードとして使われやすい語を並べた辞書などを利用し効率を上げて行うことが多い)

・よく用意されているパスワードを忘れたとき利用する機能を悪用し、本人になりすましてパスワードを再発行・参照

・偽のサイトを用意しておいてログインさせ、情報を溜め込む

 (偽のサイトだと気付かれないように、情報を取得した後は本当のサイトに自動的にログインさせる)


いずれにしろ、容易にできるものではありません。

容易にできたとすれば、サーバーのログなどにも記録が残したままとなり、

不正アクセスにより逮捕される可能性が高いと思います。


アカウントの乗っ取りの実例は下記を参照

http://www.itmedia.co.jp/enterprise/articles/0410/30/news011.htm...

http://japan.cnet.com/news/ent/story/0,2000056022,20054196,00.ht...

http://old.netsecurity.ne.jp/article/2/4141.html

id:tian_x2001

ご回答ありがとうございます。参考になりました。

GMailにもそんな脆弱性があったんですね。

アカウント乗っ取りの方法については、上の方の回答と合わせて、だいたいこれで出尽くしましたかね。

よくニュースでアカウント乗っ取りが報道されていますが、まさか自分の身にも起こるとは思わなかったです。

実害は特に無かったようなんですが。

(プロフィールの写真が、なぜか可愛い女の子に刷りかえられて、バーカと罵倒されただけなので。

逆に面白い体験をさせてもらったということで写真はそのままにしておこうかと(笑))

今後は、実際に被害にあわれた方の体験談もいろいろ聞いてみたいところですね。

どこのサイトで、こういう被害にあった、というような感じで構いません。

2006/07/18 20:24:52
id:neoarcheologist No.3

neoarcheologist回答回数776ベストアンサー獲得回数02006/07/23 07:24:23

ポイント25pt

同じサイトを利用していますが、最近詐欺がはやっているようで、注意を促すメールが届いています。

管理人のふりをして、パスワードをききだしたり、百度のサイトのまねをした別のサイトをつくって、懸賞をやるといってプライベートの情報をひきだしたりですね。

。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

请百度知道用户注意此类欺骗消息

尊敬的知道用户:

  目前某网站假冒百度知道,进行抽奖活动,情节十分恶劣。请大家提高警觉,以防上当。(具体消息如下面贴子中图片所示)虚假信息如下:

  百度知道的奖品是绝对不会需要用户邮寄财物的。另除了官方ID“系统管理员”“du熊”“知道巡视员”等的私信可信外,其他均不要透露您的隐私。

  如大家发现假冒百度知道的任何活动。请立即使用私信投诉功能,我们会有专人及时处理。期盼您一如既往地支持。

详情请见:

。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

近日一些捣乱者冒充管理员利用消息功能骗取他人密码,为了大家不被蒙骗,从今日起任何管理员不得向用户索取密码,如大家遇到冒充管理员或他人利用消息功能获取密码则立即到贴吧投诉吧举报。请大家相互转告!

百度知道只有“知道巡视员”有权向网友告知有关发布活动、提醒兑奖、索要用户个人资料(密码除外),其余id的询问一律不用相信!

另外,近日有不法之徒冒充百度知道搞活动,存在欺诈行为,请大家提高警惕,慎重辨别!

。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

近日一些捣乱者冒充管理员利用消息功能骗取他人密码,为了大家不被蒙骗,从今日起任何管理员不得向用户索取密码,如大家遇到冒充管理员或他人利用消息功能获取密码则立即到贴吧投诉吧举报。请大家相互转告!

id:tian_x2001

ご回答ありがとうございます。

私のところにはそういったメールは届いていませんが、百度のサイト上でも同様の告知が掲載されていますね。

URLやメールで百度を装ったフィッシングには引っ掛かった覚えがないので、やはり内部の人間がやったとしか考えられないです。

今回のことは良い勉強になりました。

大手のサイトだからといってあまり信用しすぎない方がいいですね。

2006/07/24 12:58:21

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません