anchor
出先のカフェなどで無線LAN通信をVPNを使って安全につなぐための設定〜トラフィックに要注意
最近はあまり聞かなくなったけど、ノマドとかいってスタバとかでMac bookを開いて仕事しているのが一頃はトレンドだったらしい。
あの人たちはどこ行ってしまったのかしらないが…
そんなことはともかく出先のマックとかホテルとかでオープンなWi-Fiサービスで接続することがあると思う。
そういう時にはOpenVPNなどのVPNサービスを使ったほうが良い。
あるいは自宅でVPNサーバを立てているなら、いっそ自宅につないでそこからWebにアクセスしたほうが何かと安全だ。
VPNを使わずにむき出しで公衆無線LANに接続するとネットワーク内でMACアドレスなどがばれてしまうことがある。
MACアドレスが割れるとヤサが割れるという話が一時期あった。
そういう辞書サービスは現存する。
住所とかの個人情報を抜かれたくないならVPNを利用すべきだ。
VPNの利用法についてはいろいろなところで解説されている。
Macで自宅VPN鯖を上げる手順についてはこちらのアプリの項目や以下のTips項目でも解説した。
VPN Activator
WiMAX導入でVPNが便利に使えるようになった〜出先から自宅Mac/PCをリモート、ファイル操作
私個人はセキュリティのためというよりも遠隔から自宅サーバーを操作したいためにVPNを立てていたのだが、これがあれば確かに安全な接続が可能になる。
ただしクライアント側のMacBook Proなどで出先でVPNを使う時には多少設定に注意が必要だ。
VPNの詳細設定に入る
システム環境設定のネットワークに入って
出先で使う可能性のあるVPN項目の詳細ボタンをクリック
オプション項目の中の全てのトラフィックをVPN接続経由で送信にチェックを入れる
これでVPNサーバーとのセッションだけでなくWANとの通信全てがVPNで暗号化送信される
このチェックが外れていると自宅VPNやオープンVPNサービスと通信している以外のWebを見たりメールしたりの通信はVPNを通らないで、つまり暗号化されないで直接無線LANルータへ送信される。
自前のWi-Fiルータを持ち歩いているならこちらの設定の方が高速かもしれない。
しかしオープンな無線LAN環境の場合は自分の通信はすべてVPNで秘匿したほうが良いと思う。
その場合はこちらにチェックを入れる。
このチェックが入っていると一連の通信中にVPNに切り替えた時に通信エラーが出るかもしれない。
入っていない場合は切り替え後も通信中のセッションはその前のオープンな経路で送信され続けるはずなので、通信エラーで失敗ということはなくなる。
どちらもそれぞれメリットがあるから、通信する場所やケースバイケースで選択したら良いと思う。
anchor
FlagSwitcher(Freeware)
OS10.8Mountain Lion対応
OS10.9Mavericks対応
OS10.10Yosemite対応
OS10.11El Capitan対応
OS10.12Sierra対応
キーボードレイアウト(入力アシスタント)が今何語に切り替わったかを画面に大きな国旗のイメージで表示してくれるメニューバーアプリ。
作者さんはロシア人のようなので、もともとはローマ文字とキリル文字を切り替えて使わないといけないキリル文字圏の人々向けのアプリということらしいが、今かな入力になっているか英数入力になっているかをIMのメニューバーアイコンだけでは見づらいと感じている老眼気味の人にも嬉しいアプリではないかと思う。
装飾キーでローマ字、キリル文字などを切り替えるキーマッピングを使用している人もあるのか、Shiftキー、Optionキー、コマンドキーなどを押すたびに国旗が出てくるのでそれが便利という人と煩わしいという人に意見は分かれるかもしれない。
でもいちいちメニューバーの細かいアイコンを確認しなくてもいいのはやはりMeritではないかと思う。
国旗はキーボード設定の入力ソースに用意されているものはすべて表示できる。
ということはかなりの数の国旗が表示できる。
あなたがクロアチア人でも安心である。
FlagSwitcherの表示はこの通りスクリーンに大きく半透明に国旗で表示される
キーボードのレイアウトが切り替わるたびに表示される老眼に優しい設計
IMがかな(日本語カナローマ字入力)に切り替わった時の表示
大抵の日本人は日本語と英数入力ぐらいしか使わないと思うが
あなたがリトアリニア語のスペシャリストだとしても安心だ
システム環境設定のキーボード設定に入り入力ソースに入ってリスト下の
「+」ボタンをクリックすることで各国語のキーボードレイアウトを追加できる
ここで国旗が用意されているレイアウトに関してはFlagSwitcherで表示できる
これは国旗のお勉強にもなってよい
これはどこの国の国旗かご存じだろうか?
FlagSwitcherはメニューバーアプリとして常駐する
メニューバーアイコンから終了と設定画面の呼び出しができる
設定画面はとてもシンプルだ
ログイン時起動する設定とメニューバーアイコンを非表示にする設定の二つだけ
anchor
AppleIDの乗っ取り攻撃を受けた〜パスワードリセットで撃退したと思ったら今度は登録メールアドレスの乗っ取り攻撃を受けた〜なんとか撃退できたっぽいけど不覚をとったかな
表題の通り
AppleIDを乗っ取られかけた
ことの次第は昨日夕方移動中に、急にiPhoneが
「iCloudのパスワードを再入力せよ」
「iMessageのパスワードを再入力せよ」
「FaceTimeのパスワードを再入力せよ」
というポップアップを出し始め、パスワードを何回入力してもこのポプアップが消えなくなったのが発端。
パスワードの設定が壊れたのかと思い、3回以上入力してしまったのでiPhoneからパスワードリセットをかけた。
それで復旧したのだが、メールの履歴を見るとすでに私よりも前に一回パスワードリセットリクエストとリセット完了メールが届いているのに気がついた。
認証設定が壊れたとかのソフトの不具合ではなく、明確に私以外の誰かによってAppleIDのパスワードがリセットされたということだ。
ただリセットだけでIDを乗っ取ることができるわけではないので、単なる嫌がらせかもしれないと思い直したり…
と、そうこうしているうちにその2時間後と明け方にまたiPhoneがパスワードを再入力せよと言い始め、メールクライアントにはリセットリクエストが来たため明確な意図を持ってやっていると判断した。
パスワードは更に強固なものにして前々からやらなければと思っていた2段階認証の設定を実施することにした。
キャプチャを撮るのを忘れていたのだがiPhoneがiCloud関連のパスワードを
入力せよとしつこくポップアップを出すので確認したところやはり
MacのiTunes StoreやApp Storeもログインできなくなっていた
履歴を見たところ私がパスワードリセットをかける数分前に
別の何者かによってAppleIDのパスワードリセットがすでにかけられていた
そこで相手のパスワードを無効にするためにパスワードの変更と二段階認証の設定をかけた
パスワードリセットはこちらのサイトから
またログインできたら
こちらのID管理ページからパスワードの変更と二段階認証の設定ができる
セキュリティの質問は結局正解が答えられないため役に立ったためしがない
しかしやはりこれも設定が求められる
今回何度か立て続けにIDの変更を行ったために3日間のブロックアウトが
かかって二段階認証の設定は待たされることになってしまった
今回のようなことを防ぐために是非ともこの設定はやっておきたい…
と前々から思っていたのだが伸ばし伸ばしにしているうちに自分が被害者になってしまうとは…
AppleIDを盗まれたとは思えないのだが攻撃を受けたのは事実なので
App StoreやiTunes Storeの購入履歴のページ、クレジットカードの購入履歴などを一応すべて確認した
特におかしな履歴は残っていなかったがここで高額な請求が
発生していることに気がつくというパターンもあり得そうだ
これで一旦は落ち着くかと思われたが、今度はなんとこのAppleIDのアカウント名に使っていたメールサービスから「普段使われていない環境からログインがあった」という通知メールが来て驚愕。
どうやらこれが本筋の攻撃のようで、メールのパスワードが破られてしまいそのログインをした上でまたAppleIDをリセットして本格的にIDを乗っ取って悪用するというのが目的だったようだ。
今朝方今度はAppleIDに使っているメールアドレスに
「普段使われていない環境からログイン」の通知が来た
IPアドレスには燦然と「中華人民共和国」の国名が…
もちろん間髪を入れずにすぐにメールサービスにログインしてパスワードを変更した
どうやらこれが攻撃の本筋だったらしい
ちなみに相手のIPをwhoisしたところ中国のチャイナネット江蘇省ネットワークのプロバイダ名
プロバイダネットワークなのでプロクシかどうかまではわからないが
あまり隠していないので個人からのアクセスかも
中国からのアクセスはほぼ確実なので、嫌がらせとかではなく明確なID乗っ取りの意図があったことも明確だ。
認証に使っていたyahoo.mailもパスワードを強度を上げて変更したことは言うまでもない。
一応しばらく様子を見ていたが、その後おかしなログインはないので多分クリアできたと思う。
今回の幾つかの問題点は、以下の通り
1)AppleIDに二段階認証を設定していなかった
今回の最大の私のポカはこれだと思う。
認証用のメールのセキュリティがスカスカだろうが、本丸のAppleIDが他人から操作されないようにしておけば問題ない。
ところが「近いうちにやっておかなければ…」と思いながら先延ばしにしていた私が一番悪い。
この設定ができるまではしばらくすべてのアカウントを厳重監視しないといけない。
2)AppleIDのリセット通知メールにyahoo.mailを使っていた
その次に重大なポカはyahoo.mailなんかでAppleIDを作ってしまったという問題だと思う。
yahoo.mailの何が問題かというとまずログオンしたらタイムアウトしないというセキュリティの低さが最大の問題だ。
一度ログオンに成功したら、そのままブラウザを閉じないで潜伏接続して時間が経ってから悪さすれば気がついて対策する頃にはいろいろ悪さできてしまう。
Gmailにせよ他のメールサービスは大体数分ないし数十分何も操作しないでおいておくとロックアウトされてしまうがyahooにはそういう仕組みがない。
過去にも個人情報を漏洩してくれた実績もあるし、Yahooはとても信頼度は低い。
実はITMSサービスが始まった頃に、お試し気分で安直に作ってしまったIDとパスワードなのでこれが将来そんなに重要なアカウントになるとは思っていなかった。
何曲か買ってみてやっぱり気に入らないなら削除してしまえばいいやと思っていた。
ここのところ気になっていたけども、気になったらその時がセキュリティの更新時だということか。
3)パスワードの堅牢性が低かった
これも上記と同じ理由で、お試しなんだから絶対に忘れないパスワードということで割と安直なパスワードを設定していた。
さすがにパスワードの使い回しをするようなことはしていないが、特にメールのパスワードを破るのに成功した時点で、AppleIDをリセットして乗っ取ったメールから認証してAppleIDもいただきという流れだったのだろう。
今回悪用されなかったのは相手のクラッカーが割と手際が悪かったというラッキーな理由だけで、そうでなければやられていたと思う。
もちろん、AppleID、メールパスワード共に強度を上げて推測不可能な桁数に変更した。
この際yahoo.mailをやめて例えばGMailなどの別のメールをAppleIDのアカウント認証に変えようかと思ったが、そこはちょっと慎重になった。
AppleIDはもうiTunes Storeのログイン鍵だけでなく、AppleTVやその他色々な認証に使っているし、その認証の通知メールに他のメールを使って…といろいろ複雑な関係になっているので、簡単に変えるわけにもいかない。
とりあえずリセットされたらGMailや幾つか他のメールにも通知してすぐにわかるようには設定変更したが。
さらに不安は払拭しておこうと思い、AppleIDやメールだけでなく過去にお試しも含めて登録したことがある認証情報をすべて確認して変更できるところは変更した。
ここで思い出すのはパスワード定期変更オジサンの
「パスワードを90日ごとだろうが、定期変更することによってセキュリティが確保される可能性は全くゼロではない」
のたわごと。
こうして現実に攻撃を受けてパスワードを変更する羽目になると、メールクライアントやらスマホやらタブレットやら色々なデバイスの設定も一斉に変更しないといけないし、関連する認証サービスも設定変更と結構な手間で
「毎月変えればよろし」
とか簡単に言ってくれるな…というより本当に現実を知らない学者の戯言だと思う。
それより二段階認証などでパスワード認証を堅牢に守るほうがはるかに現実的だ。
パスワードの定期変更にまだ現実味があったのは、パスワードなんてメール設定の時ぐらいしか使わなかったような20年前の話だと思う。
今は色々なサービスの色々なクライアント、デバイスの認証が複雑に関わりあっているので90日ごとだろうが180日ごとだろうが定期変更は膨大な手間だ。
そして90日のような長い変更期間はほぼ意味がない。
定期変更を推奨するならワンタイムパスワードだ。
定期変更を推奨するからセキュリティは逆にモラルハザードで劣化するんだと思う。
今回は本当にそれを実感した。
Previous
Index
Next
|