学内IT環境の向上を目指す情報誌武蔵野大学コンピュータ学習相談室 2012/2/3発行 News Wave Vol.47 被害に遭ってからでは遅すぎる!! パスワード管理の掟パスワードってそんなに大切？下の図は入学式にみなさんへ配布した「アカウント通知書」です。冒頭の4行を拡大しました。ここで言っているパスワードを他人に教えてしまったらどんな困ったことが起きるでしょうか。テレビや新聞でも「パスワードが大量流出」とか「個人ＩＤとパスワード盗難」といった記事をよく見かけるようになりました。記憶に新しいところでは・・・ 2011年5月1日：ソニー情報流出ソニーは4月末から5月始めにかけてネットワーク配信サービスへのハッカー不正侵入により延べ1億人分もの個人情報がソニーから流出したことを明らかにした。5月1日の記者会見では、ゲームや音楽など一部のコンテンツを無料配信すると発表。米連邦捜査局（ＦＢＩ）に操作を依頼したことを明らかにした。目次パスワードってそんなに大切？ 1 2011年10月24日：衆院議員のパスワード盗難漏れるとどうなるの？ 2 衆院議員の公務用パソコンや衆院内のサーバーが今年７月以降、サイバー攻撃を受けてコンピューターウイルスに感染し、議員ら衆院のネットワーク利用者のＩＤとパスワードが盗まれた疑いがあることがわかった。どうして漏れるの？ 2 あなたの管理は大丈夫？ 3 犯罪の手口ってどうなってるの？ 3 2012年1月13日：NASAパスワード流出かパスワード管理の鉄則宇宙航空研究開発機構は１３日、職員が業務で使用していたパソコンがウイルスに感染し、米航空宇宙局（ＮＡＳＡ）のシステムに入るためのパスワードが流出した可能性があると発表した。パスワードを使えば、国際宇宙ステーションの運用計画などが閲覧可能になるが、実際に使われたかは不明という。出典パスワードが流出すると個人情報や企業データのほか、世界の機密計画まで流出し、計り知れない多くの人々に迷惑がかかる結果となります。つまり、パスワードは人・企業・社会をも揺るがす重要な情報なのです。では、私たちには具体的にどんな被害が及び、普段どんなことを気をつけていたらいいのでしょうか。今回のNewsWaveは、私たちのすぐ近くで起きているいくつかの事例を紹介しながらパスワード管理の大切さを理解していただきたいと思います。  新たにす http://allatanys.jp/  日本経済新聞社 http://www.nikkei.com/  警視庁HP www.keishicho.metro.tokyo.jp/  ダイヤモンドオンライン http://diamond.jp/ 4 漏れるとどうなるの？～パスワード被害本学の場合～アカウント通知書を落としたり、パスワードを他人に教えてしまったり、知らぬ間に盗まれていたらどんな被害に遭うでしょう。本学で起こり得る事例を考えてみました。・勝手に学内パソコンにログインされる・勝手に印刷される・未読メールを読まれる。・成りすましてメールを送られる。・成績表を見られる・履修登録期間なら登録を改ざんされる・マイドキュメント内を消される・Gmailのパスワードを変えてしまう・第三者にアカウントを又貸しされる・パスワード変更のため、数日間大学のパソコンが使えない ※実際に起きた例ある日、Ａ君は印刷上限を超えたというメッセージを見て自分の印刷履歴を確認したところ、まったく身に覚えのないファイルで100枚以上も印刷されているのに気付きました。手帳でこの時の予定を確認するとちょうど期末試験中で学内のパソコンが使えるはずがありませんでした。すぐコンピュータ学習相談室で調べてもらいましたが、Ａ君のアカウントでログインし、印刷したという事実しかわからず、パスワード変更と用紙補充の申請をするしかありませんでした。残念ですが、最近このような被害は続出しています。たまには履歴チェックを!! ちょこっとアドバイスどんなに親しい仲でも他人がパスワードを入力している時は、その手元を見ないように1歩下がるか、目をそらしていましょう。はみだしコラム Part1 パスワードは、パソコンにログインしたり、特定のサイトの認証に使われるだけでなく、個々のファイルやフォルダに設定することができます。Wordや ExcelなどOffice系のファイルなら「名前を付けて保存」のダイアログボックスで「ツール」ボタンをクリックし「全般オプション」を選びます。「読み取りパスワード」の欄にこのファイル用のパスワードを入力しOKを押します。フォルダの場合は圧縮ファイルにして設定する方法があります。変換ソフトによって手順が違うので確認してください。どちらも開こうとしたときにパスワードの入力を求められます。メールに添付ファイルを付ける際は、メールが漏えいしたときに備え、パスワードをかけて送ります。 2 どうして漏れるの？～盗みの手口～パスワードが他人に知られてしまうのは本人の不注意ばかりでなく、セキュリティ対策ができていないといった隙を狙って攻撃される場合もあります。次の事例を参考に普段から気をつけましょう。・入力しているところを背後から見られる（ショルダーハックといいます）・パスワードを書いた紙を盗み見される・よく使われる単語や誕生日などを片っ端から入力してみる（辞書攻撃といいます）・ウィルスやスパイウェアに感染して、知らぬ間に盗まれる・不正アクセスによって侵入される・ネットカフェなどに「キーロガー」が仕組まれたPCを使う ※キーロガーとは、パソコンに入力した内容を自動的に記録するソフトのこと ※ホントにあった例厳しい就職戦線を勝ち抜いて念願の内定を取り付けたＢ子さん。ところが内定通知後、会社から何の連絡もなく、正式な採用通知も届かないという事態を不審に思った彼女は会社の人事部に問い合わせてみると、「あなたから内定辞退のメールをいただいたので、すでに採用は取り消してあります」と言われ頭が真っ白になりました。もちろん、彼女は内定辞退のメールなど出した覚えはなく、人事担当者にそのことを説明してなんとか採用してもらいたいと懇願しても、「すでに、代わりの人に採用通知を送ってしまっているので」と断られてしまいました。一体何が起きたのか納得がいかず警察に相談したところ、驚くべき事実が判明しました。半年前に些細なケンカが原因でＢ子さんから別れを告げた元カレが彼女への復讐のために、つき合っていた頃共有していたパスワードを使って大学のパソコンに不正アクセスし、彼女に成りすまして内定辞退のメールを送信していたのでした。この彼は不正アクセス禁止法違反で逮捕されましたが、B子さんは一層厳しくなった就職活動を再び始めることとなりました。この実例からわかっていただきたいのは、どんなに仲の良い彼氏や何でも話せる親友、信頼している先生、家族のような親戚であっても自分のパスワードは絶対他人に教えてはいけないという教訓です。あなたの管理は大丈夫？～パスワード被害一般社会の場合～一般社会では、パスワードが盗まれたことにより、金銭的な被害にあったり、無意識のうちに他人に迷惑をかけてしまっていることもあります。次のような被害が有名です。・自分のインターネットネットバンク（銀行の口座）から勝手に知らない口座に振り込まれていた。・ショッピングサイトで勝手に高額な買物をされ架空請求がきた・ネットでためたポイントを勝手に使われてしまった。・知らないうちに自分の名前で迷惑メールを大量に送られていた。・SNSなど本人に成りすまして誹謗中傷を書き込まれた。ちょこっとアドバイスパスワードがかかった添付ファイル付きのメールには、そのパスワードを書かずに別便で送るようにしましょう。図や写真の説明を記入します。犯罪の手口ってどうなってるの？～フィッシング詐欺の場合～実際に他大学の掲示板にあったお知らせですが、みなさんも知っておきましょう。「ID・パスワードを聞き出す詐欺について」大学関係者を騙り、電話やメールでIDやパスワードを聞き出そうとする詐欺行為が発生しています。本学ではIDやパスワードを個人に問い合わせることはありませんので、問い合わせがあっても回答しないでください。また、類似の詐欺行為として、メール内にURLを記載して、偽のサイトへリンクするように仕向け、そのサイトを使って個人情報（住所、氏名、銀行口座番号、クレジットカード番号、ID、パスワード等）を入力させる、「フィッシング」詐欺が懸念されています。 ○被害に遭わないために＆被害に遭ってしまったら・そのようなメールに回答したり、リンクをクリックしない。・メールの内容を確認するには、本物の企業のサイトにアクセスするか、直接電話して確認する。・「金融機関や大学がパスワードを尋ねることはない」と認識する。・個人的・金銭的な情報をメールで送信しない。・メールやサイトを使って個人的・金銭的な情報を提供する場合は、そのサイトが安全であるという目印（鍵マークなど）を確認する。・疑わしいメールの添付ファイルを不用意に開かない。・偽メールやそのメールにあったリンク先に個人情報を入力したことに気づいたら、本物の企業や消費生活センターに相談する。・すぐに今のパスワードは変更する。・金銭を騙し取られるなどの被害を受けたら、警察に届け出る。コンピュータを使ったサイバー犯罪は、どんどん手の込んだ手法に変化しており、被害件数も年々増えています。気になったら「サイバー犯罪」で検索してみるか、警察庁や総務省のサイトで最新の手口を確認してみるとよいでしょう。 3 はみ出しコラム Part2 1109教室にあるMUSCAT専用最後は自己責任～パスワード管理の鉄則本学の場合～機はみなさんがすぐMUSCAT パスワード管理の基本は自分で守ることです。そのためには、普段から次の3点を頭に入れておいてください。を使えるように閉室までシャッ・他人に見せない、教えない、使わせないトダウンしないことになっています。このパソコンでMUSCAT やGmailにログインした方は、必ず最後にログオフしてください。特にGmailの場合、ブラウザを閉じただけではログイン状態が残っているので、次に Gmailを開いた人はパスワードなしであなたのページに入れてしまいます。要注意です。パスワードを尋ねる不審な問合せに応じてはいけません。大学や有名企業の名を騙る成りすましという可能性もあることを覚えておいてください。どんなに親しい間柄であっても共有や貸し借りをしてはいけません。・万全なセキュリティ対策複雑なパスワードも早めに覚えて自然に入力できるようにしましょう。入力しているところを盗み見られないように素早く入力するのもポイントです。アカウント通知書は卒業まで大事に家で保管しましょう。・万一の時は即対応もし、パスワードを他人に知られてしまったり、アカウント通知書を無くしてしまったり、ちょっとでも不審な点があればすぐコンピュータ学習相談室に相談しましょう。早めの対応が二次被害を防ぎます。ちょこっとアドバイスパスワードの受け取りは、必ず本人が行きましょう。家族が来ても、電話で聞かれても、答えてはもらえません。最新情報 News Wave Vol.47 発行: 武蔵野大学コンピュータ学習相談室編集後記新入生の必修講座となっている「個人情報保護法講座」について、「受講しても単位にならないんですか」とか「受講しなかったら卒業できないんですか」という質問をたくさんいただきました。この講座を受けても単位にはなりませんし、卒業要件にも引っかかりません。ただ、どの授業でも教えていない内容なので、もし、今後何かの問題に直面した時に「習っていないから、知りませんでした」といっても社会では通用しません。こういった知識をひとりひとりが身につけた上でネットワークやインターネットを利用して欲しかったので、必修講座とさせていただきました。どうぞご理解ください。（志） 2000年に施行された「不正アクセス禁止法」は他人のID・パスワードを無断で使うと「懲役1年以下、または50万円以下の罰金」、また、パスワードを提供した人も有料・無料に関わらず「30万円以下の罰金」になるという罰則が科せられています。それがつい先日、インターネットバンキングでの不正送金事件が急増していることを受け、警察庁はこれらを取り締まるための改正案を作って国会に提出しました。これまでは入手したＩＤなどを不正に利用した場合にしか処罰できませんでしたが、改正案では、他人のＩＤなどを不正に入手するために、いわゆるフィッシングサイトを立ち上げたり、不正利用する前に入手しただけでも処罰される内容になっています。また、罰則も「懲役は3年以下、または 100万円以下の罰金」とより厳しくなりました。早ければ2月中の閣議で決定するそうです。おまけパスワードから少し話しは変わりますが、最近、コンピュータルームで気になるのは、ログインしたまま放置されているパソコンが多いことです。時にはマイドキュメントや Gmailが開いたままの時もあり驚いてしまいます。そんなパソコンを他人が使っていても誰もわかりません。いくらパスワード管理がしっかりできていてもこれでは被害に遭うのを待っているようなものです。もし２ページ上の実例で紹介したような印刷被害があったとしてもこれでは管理不行き届きとしか言いようがありません。むしろ被害が印刷用紙だけで済んでよかったと思いましょう。ネットカフェのような全然知らない人とパソコンを共有する所だったらどんな目に遭うかもうお分かりだと思います。終了時はしっかりシャットダウンするまで見届けるようにしましょう。