2019年8月28日水曜日

Chatworkを安心安全に使うためのセキュリティ対策と予防法

  • このエントリーをはてなブックマークに追加

近年リスト型攻撃による被害は、インターネットが生活に浸透したことに比例して、年々増加しています。今回は、個人をはじめ大企業を脅かすサイバー攻撃の代表格であるリスト型攻撃を未然に防ぎ、Chatworkを安心安全に使うためのセキュリティ対策について紹介します。


リスト型攻撃とは

リスト型攻撃とは、オンラインサービスへのログインを狙った不正アクセス攻撃の一種です。不正ログインをするために、攻撃者がどこからか入手した、IDとパスワードがセットのアカウント情報リストを用いて、正規ルートから不正にアクセスを試みることを指します。リスト型攻撃は、他にも「パスワードリスト攻撃」、「アカウントリスト攻撃」などと呼ばれる場合もあります。



リスト型攻撃によるリスク

リスト型攻撃が成功してしまうと、該当アカウントを乗っ取り、本人になりすましてさまざまな行動が可能になってしまいます。アカウントを乗っ取られてしまった場合の被害は以下の通りです。


  • 個人情報の流出や改ざん、削除
  • 企業機密の漏洩
  • ソーシャルアカウントの不正使用や不正投稿
  • ECサイトやゲームサイトなどのポイント、アイテムの不正使用

など


リスト型攻撃を回避するためにやっておくべきこと

リスト型攻撃が成功してしまう最も大きな原因は、複数のサイトやオンラインサービス、企業内の従業員用Webサイトなどで同じパスワードを使い回してしまうことです。


リスト型攻撃は、実際に使用されているIDとパスワードがセットになっているため、1つのIDあたりの不正ログイン試行回数は少ないですが、不正ログインが成功する確率は高くなります。

また、リスト型攻撃の場合は、他の不正アクセスの攻撃手法とは異なって、正規のログイン方法を試みる手法であり、ログイン試行回数もとても少ないため、プログラムによる検出が難しく、正規アクセスとの判別をおこなうことが非常に困難であるという特徴もあります。

リスト型攻撃を回避するためにユーザーがとれる対策と予防は下記の通りです。

■パスワードを使い回さない
複数のサービスで同じパスワードを使いまわさないようにしましょう。また、複数のパスワードを管理する負担を減らすため、必要に応じてアカウント管理ソフトを利用しましょう。

参照:パスワードを変更する(Chatworkの場合)

■最新バージョンにアップデートをする
オンラインサービスは日頃からセキュリティ強化や脆弱性の改善に努め、サービスのアップデートを頻繁におこなっています。自身が利用しているサービスのセキュリティを最新のものにしておくために、常に最新バージョンにアップデートしておきましょう。Chatworkの最新版は以下サイトよりダウンロード可能です。

参照:Chatwork ダウンロード

■2段階認証を設定する
仮にリスト型攻撃によって不正ログインされても、被害の発生を抑制することができます。Chatworkでも2段階認証を設定しましょう。

参照:2段階認証によるログインに対応しました!


上記以外でChatworkでユーザーがとれる対策

■パスコードロック
パスコードロック機能は、Chatworkアプリを起動するときに、都度4桁の暗証番号を求めるセキュリティ機能です。パスコードロックを設定することで、万が一携帯を紛失したり、携帯の画面ロックを解除されても、Chatworkが開かれるリスクを低減することができます。

■シングルサインオン(SSO)
企業で複数のサービスを利用している場合、サービスごとに異なるID/パスワードを覚えるのが大変なため、パスワードの使い回しや簡単なパスワードを設定することが多くなり、不正アクセスのリスクが高くなります。シングルサインオンを利用することで、システム管理者がログイン情報を1つにまとめて管理することができるので、複数のサービスで簡単なパスワードを使い回すといったリスクを減らすことができます。

■IPアドレス制限
IPアドレス制限は、接続元IPアドレスによって、Chatworkへのアクセスを制限できる機能です。IPアドレス制限をおこなうことで、社外の不明なネットワークからのアクセスをブロックすることができます(エンタープライズプランにて利用可能です)。


その他Chatworkが取り組んでいるセキュリティ対策

■reCAPTCHA
reCAPTCHAはGoogleが提供しているサービスで、悪質なプログラムに(ロボット)よるサービスへの不正アクセスや、サービスの乱用を防ぐための仕組みです。Chatworkのブラウザ版に適用しています。

■認証コード
2段階認証を設定していないユーザーで、Chatworkが不正アクセスの可能性があると判断したユーザーに対して一時的な認証コードを送る仕組みです。


まとめ

今回は不正ログインの手法の1つ、リスト型攻撃についての対策と予防を紹介しました。

リスト型攻撃によって不正アクセスに成功した場合、攻撃者が好ターゲットと認識して、標的型攻撃へ移行するリスクもあります。標的型攻撃は大きな企業リスクに繋がってしまうため、未然に防ぐことが重要です。
  • このエントリーをはてなブックマークに追加

Chatworkをご存知ですか?

Chatworkは、業務の効率化と会社の成長を目的とした、メール・電話・会議に代わるコミュニケーションツールです。
Chatworkを試してみる

導入効果・活用事例などがわかるChatwork製品資料配布中!

Chatwork製品資料配布中!