まとめの限定公開に「リンク限定」が追加されました。URLを伝えてまとめを共有しよう!

Askの本日の質問が危ない

ask.fmの本日の質問が「あなたはどこで生まれましたか?」だったのですが……
インターネット yahooオークション ハッキング ヤフオク appleid セキュリティ パスワード 秘密の質問
122996view 22コメント
189

発端はこの回答

神乃木リュウイチ(Kaminogi) @kaminogi
あなたはどこで生まれましたか? どうでもいいけど、これって完全に秘密の質問の答えになっちゃうよねw http://t.co/KxYKuJuKxR

で、思ったこと

おるふぁん / Al-Fun4 @Al_Fun4
aksみたいな質問サイトで出身地とかペットの名前とか母校とか聞き出してパスワードを盗み出す手法、なかなかおもしろいと思ったけどそれって昔ネトゲのチャットで同じ手法で不正アクセスされるの話題になったよね?
おるふぁん / Al-Fun4 @Al_Fun4
でも、最近だとaskに連携しているTwitterに更に接続しているFacebookアカウントって感じで芋づる式にアカウントが結びついちゃうのかも。メアドとか知ってたらAppleIDあたりが狙われそう。アレ突破するとiCloudのキーチェーン(PWリスト)も見れるんだっけ?マジ怖い
おるふぁん / Al-Fun4 @Al_Fun4
Ask→Twitter連携してるな→ヤフオクツイートしてるな→オクIDからメアド分かった→ヤフーアドレスがアップルIDだな→アップルアカウントからキーチェーン盗んだったwww→Yahooのパスワードゲット→メールにネットバンキングの情報残ってるわww とかありえそう
おるふぁん / Al-Fun4 @Al_Fun4
ヤフオク関連のツイートはできるだけ控えたほうがいいですよ。出品者のIDがそのままメールアドレスになってるハズなんで

全てのパスワードが丸裸にされるキーチェーン

おるふぁん / Al-Fun4 @Al_Fun4
iCloudキーチェーンセキュリティコードっていうのを破れないといけないのか。SMS認証を引っ掛けさせれば認証しちゃうから、このへんは数撃ちゃ当たる戦法で数人に攻撃しかければ一人くらいは間違ってクリックして認証しちゃいそうだな
おるふぁん / Al-Fun4 @Al_Fun4
iCloudキーチェーンパスコード、4桁の数字だから、Askで「誕生日いつ?」「車のナンバーに思い入れはありますか?」「電話番号の下4桁の数字で10を作ってください」とか聞き出しとけば破れるな http://t.co/OCV6QNk4xU
おるふぁん / Al-Fun4 @Al_Fun4
4桁パスコードは、どの数字使ってるかだけ分かったら最悪12通りだから速攻で破られる
おるふぁん / Al-Fun4 @Al_Fun4
迂闊にも「3と0と0と0じゃ10なんて作れないですよー(><)」とか回答しちゃうと3000, 0300, 0030, 0003の4通りで数秒で破られる

名称

おるふぁん / Al-Fun4 @Al_Fun4
こういうハッキング手法になんか名前ありそう。既にソーシャルエンジニアリングっていう言葉があるけど、アレはリアルを使う手法だからちょっと違う
おるふぁん / Al-Fun4 @Al_Fun4
そうだ、こういうのを「標的型攻撃」って言うんだった。

と、いう話をしてたら早速攻撃されましたw

おるふぁん / Al-Fun4 @Al_Fun4
iPhoneのパスコードは、何にしていますか? — コミケ用展示端末のパスコードはヨメの誕生日でした http://t.co/bvzaDIrEzi
おるふぁん / Al-Fun4 @Al_Fun4
そもそもiCloudキーチェーン使ってないですし。iPhoneもiPadもiPad miniもMacも持ってるけど全部に独立したキーチェーンをもたせてる

秘密の質問を聞き出そうとしてくる人には注意です

YahooIDの場合

残りを読む(84)

コメント

Rick=TKN @RickTKN 2014年2月27日
そもそも「秘密の質問」に正直な答えを用意する必要もないと思うけどね。「Q.どこで生まれましたか A.四字熟語」とかね。まあ、それを忘れないってのが条件だが。
おるふぁん / Al-Fun4 @Al_Fun4 2014年2月27日
アップルの秘密の質問を追加
mikunitmr @mikunitmr 2014年2月27日
「どこで生まれましたか」「母親の股間」
いいえ手 @teracy 2014年2月27日
なにが怖いって、このブコメで「結構真面目に答えてるから気を付けなければ」ってのを見たことですね(白目)
(´・ω・`)たまなか湖 @roberuto789465 2014年2月27日
RickTKN 俺はナメック星出身だから大丈夫だなと思ったけどどこでも似たようなふざけかたしてるから危ないかもしれない
Tsuyoshi CHO @tsuyoshi_cho 2014年2月27日
もう、どんな内容でも「秘密の質問」自体がよくないと思うな...
ラフティーソバ @Osspc 2014年2月27日
ask って昔バイドゥのような怪しい検索サービスだと思ってた時期があったな まとめ内容みたら怖いけど@ω@
まるてにすとらいぷ @ZLA151ARO 2014年2月27日
「あなたはどこで生まれましたか?」の答えを「おめこ」にしてるヤツは何万人くらいおるじゃろう。
kawonasi @kawonasi4989 2014年2月27日
ソーシャルハッキングですね!
カワウソクサ @Nek_ssd 2014年2月28日
答えなきゃいいんじゃないの?(こなみ)
ガニコウモル先輩@アフリカのアラブ @afurikano_arabu 2014年3月1日
ワイ、秘密の質問の答えに質問と関係ない適当な文字列を入れている模様
まくのうち @McNouchi 2014年3月1日
この手の質問には割と適当かつ忘れにくいもので答えてますね。「憧れの職業」なら「ニート」とか(笑)。
SAKURA87@多摩丙丁督 @Sakura87_net 2014年3月1日
秘密の質問を設定し、必要になった時に答えが分からず。漢字 かな ローマ字を試した挙句やっぱりわからないから作り直した事があるアカウントがこちらでございます。
きゃっつ(Kats)⊿2/23乃木坂7BDL京セラドーム @grayengineer 2014年3月1日
正直、「秘密の質問」という方法論そのものが、あまりよい方法ではないとは思っているけど、サービス利用のために必須だから仕方なく使ってる感じ。使わないという選択肢も用意してほしい気はするけど、難しいんだろうなぁ
nob_asahi @nob_asahi 2014年3月3日
忘れると意味がないので、秘密の質問には真面目に正しい答えを書いている。が、「とある自分ルール」を回答に追加しているので問題ない。
なみへい @namihei_twit 2014年3月3日
人の物を横取りして奪うことでしか欲しいものを手に入れられない人達が居ます。彼らは、あの手この手で、アカウントを特定しパスワードを盗もうと、日々、無い脳ミソをひねっています。
アンキモ @MDMMMO 2014年3月5日
ひらがなで入れたか、カタカナで入れたか、漢字で入れたかを忘れ、何回もサポートに電話した思い出。日本語ならではのトラブルだろうな…
みながわ あおい @Minagawa_Aoi 2014年3月5日
秘密の質問の答えに絶対なりそうもない答え(例えばディープインパクト)をひとつ覚えといて、どの秘密の質問に対してもそれを答えられるようにしておけば
ぐるり @gururi 2015年7月9日
登録する「秘密の質問の答え」ってのは別に本当の答えで無くてもいいので、パスワードのように(あるいはパスワード以上に)長く複雑なものにして、キーチェーンに突っ込む、というのを職場のアカウントではやってる。保存方法はスクリーンショットを撮る、でも別のアカウントのクラウドストレージに突っ込む、でもなんでも良いんだけど。
3STT:3P(K.U.Z.) @KUZ_3STT3P 2016年8月30日
何にしたか覚えてないので、パスワード忘れたふりして聞いてきた。 自分の性格の悪さ(答え)を思い出した。
たなか@りょなけお疲れ様でした @tanakanovelist 5月13日
そんなもん一番上のを選んで「あ」じゃい
ログインして広告を非表示にする
ログインして広告を非表示にする