人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

中国に「百度」という検索サイトがありますが
あそこのアカウントを登録して使用していたところ、
いつのまにか設定項目や写真が書き換えられており、自己紹介欄に「アカウントを乗っ取ってやったぜざまーみろ」みたいな意味の中国語が書いてありました。

すぐに設定を修正して、パスワードも変更したのですが・・・


皆さんは海外や国内のネットサービスを利用していて
アカウントが乗っ取られた、という経験はありますか?


また、いったいどうやってパスワードを知ることができたのか、その仕組みを教えてください。
(もちろん悪用するわけではなく、自衛のための知識として知っておきたいので)


良回答者が報われるようにポイント配分はきちんと行うようにしております。皆さん奮ってご回答ください。

●質問者: tian
●カテゴリ:コンピュータ インターネット
✍キーワード:アカウント サービス ネット パスワード ポイント
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● くまっぷす
●30ポイント

乗っ取られた経験はないです。

アカウントを盗む方法はいろいろあって、ざっと思いついただけでも

などがあります。

で、問題なのはこういうアカウント+パスワード、また脆弱性の情報などはネット上に出回って永遠に消えないことです。アカウント名などは一種の「顔」みたいなものなのでどうしてもあちこちで同じものを使ったりしますし、パスワードの傾向も同じユーザであれば似てしまいます。ですのでまた他の悪人にアタックされてしまうことも多いのです。

◎質問者からの返答

なるほど。詳しい解説ありがとうございました。

今回の場合6番目の「サイトのクラッキング」っぽいですね。

おっしゃる通り、中国だからと差別したくはありませんが

特に「百度」は先日も部署ごと人員を大量解雇したり、いろいろひどい人事をやってるみたいなので

内部犯行かもしれないですね。。。

「百度知道」という中国版はてなみたいなところで

日本語に関する質問にいろいろ回答していたのですが、それで反日の人に目を付けられちゃったのかな、という気もします。


2 ● KirakiraHikaru
●25ポイント

私自身はアカウントを乗っ取られたことはありません。

パスワードを難しいものにしておけば、以下であげるパスワードの総当りには対応することができます。


アカウントの乗っ取る方法はいろいろありますので、

これだということは断定できないですが、下記のような方法が考えられます。

(以下は例なので、それ以外の方法で行われた可能性もあります)


アカウントの情報を入手し、その情報を使って勝手にログイン

アカウントの情報を入手する方法としては、

・そのサーバーの関係者から流出した情報

・サーバーの脆弱性(バグなど)をついた攻撃を行い、管理者権限で操作

(OSやインストールされているプログラムのアップデートを頻繁に行っていない場合はこの危険性が高まる)

下記に紹介されているような日々発見される脆弱性を攻撃者は狙ってくる

http://www.ipa.go.jp/security/ciadr/top-j.html

・コンピュータプログラムによるパスワードを総当りでログインを試みる

(パスワードとして使われやすい語を並べた辞書などを利用し効率を上げて行うことが多い)

・よく用意されているパスワードを忘れたとき利用する機能を悪用し、本人になりすましてパスワードを再発行・参照

・偽のサイトを用意しておいてログインさせ、情報を溜め込む

(偽のサイトだと気付かれないように、情報を取得した後は本当のサイトに自動的にログインさせる)


いずれにしろ、容易にできるものではありません。

容易にできたとすれば、サーバーのログなどにも記録が残したままとなり、

不正アクセスにより逮捕される可能性が高いと思います。


アカウントの乗っ取りの実例は下記を参照

http://www.itmedia.co.jp/enterprise/articles/0410/30/news011.htm...

http://japan.cnet.com/news/ent/story/0,2000056022,20054196,00.ht...

http://old.netsecurity.ne.jp/article/2/4141.html

◎質問者からの返答

ご回答ありがとうございます。参考になりました。

GMailにもそんな脆弱性があったんですね。

アカウント乗っ取りの方法については、上の方の回答と合わせて、だいたいこれで出尽くしましたかね。

よくニュースでアカウント乗っ取りが報道されていますが、まさか自分の身にも起こるとは思わなかったです。

実害は特に無かったようなんですが。

(プロフィールの写真が、なぜか可愛い女の子に刷りかえられて、バーカと罵倒されただけなので。

逆に面白い体験をさせてもらったということで写真はそのままにしておこうかと(笑))

今後は、実際に被害にあわれた方の体験談もいろいろ聞いてみたいところですね。

どこのサイトで、こういう被害にあった、というような感じで構いません。


3 ● neoarcheologist
●25ポイント

同じサイトを利用していますが、最近詐欺がはやっているようで、注意を促すメールが届いています。

管理人のふりをして、パスワードをききだしたり、百度のサイトのまねをした別のサイトをつくって、懸賞をやるといってプライベートの情報をひきだしたりですね。

。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

?百度知道用?注意此?欺?消息

尊敬的知道用?:

目前某网站假冒百度知道,?行抽?活?,情?十分?劣。?大家提高警?,以防上当。(具体消息如下面?子中?片所示)虚假信息如下:

百度知道的?品是??不会需要用??寄?物的。?除了官方ID“系?管理?”“du熊”“知道巡??”等的私信可信外,其他均不要透露?的?私。

如大家??假冒百度知道的任何活?。?立即使用私信投?功能,我?会有?人及??理。期??一如既往地支持。

?情??:

。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

近日一些?乱者冒充管理?利用消息功能?取他人密?,?了大家不被蒙?,从今日起任何管理?不得向用?索取密?,如大家遇到冒充管理?或他人利用消息功能?取密??立即到??投????。?大家相互?告!

百度知道只有“知道巡??”有?向网友告知有??布活?、提醒??、索要用?个人?料(密?除外),其余id的??一律不用相信!

?外,近日有不法之徒冒充百度知道?活?,存在欺?行?,?大家提高警?,慎重辨?!

。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

近日一些?乱者冒充管理?利用消息功能?取他人密?,?了大家不被蒙?,从今日起任何管理?不得向用?索取密?,如大家遇到冒充管理?或他人利用消息功能?取密??立即到??投????。?大家相互?告!

◎質問者からの返答

ご回答ありがとうございます。

私のところにはそういったメールは届いていませんが、百度のサイト上でも同様の告知が掲載されていますね。

URLやメールで百度を装ったフィッシングには引っ掛かった覚えがないので、やはり内部の人間がやったとしか考えられないです。

今回のことは良い勉強になりました。

大手のサイトだからといってあまり信用しすぎない方がいいですね。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ