|
カテゴリ: |
2024-09-19 (Thu)
|
×
[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
|
カテゴリ:【SC】情報セキュリティ |
2013-03-23 (Sat)
|
実際の話ですが、最近入会した団体から次のようなメールが届きました。文面などは変えてありますが、趣旨は同じです。
From: ○○○協会 <info@example.or.jp> To: info@example.or.jp Subject: 会員専用ページのご案内 新入会員各位 お世話になっております、○○○協会事務局です。 このメールは、Bcc で送信しています。 会員の皆様には専用ページを用意しております。 ログインIDは会員各自の本名、初期パスワードは K9e4r#L2 です。 こちらで http://www.example.or.jp/login.html からログインしていただき、 パスワード変更を行ってください。 よろしくお願いいたします。
|
「メールの盗聴による不正アクセスのほかに、どのようなリスクがあるか、40字以内で述べよ。」と言ったら、情報セキュリティスペシャリスト試験のようですが、何がリスクでしょう?
答えは、新入会員全員に共通の初期パスワードが設定されているため、他人に不正アクセスされるリスクがあることです。ログインIDは会員の本名で、初期パスワードは共通ですから、入会者の氏名を知ることができれば、他人が本人になりすましてログインできます。他人がパスワード変更すれば、本人がログインできなくなってしまいます。
本人が先にログインしてパスワードを変更すればよいですが、初期パスワードを変更しない会員が相当数いるはずです。メールをきちんと読まない人、あまりインターネットを利用しない人、ログインしても初期パスワードを使い続ける人などです。
そういうリスクのある運用ですので、事務局宛にメールで、初期パスワードは会員ごとに変えた方がよいと進言しました。すぐに今後は運用を改めますと返事がありましたが、リスクに気付かずに同様の運用をしているところは多いのではないでしょうか。
PR
|
コメント
|
|
プロフィール
|
HN:
Keiji
性別:
非公開
|
カレンダー
|
|
カテゴリー
|
|
アーカイブ
|
|
最新コメント
|
|
ブログ内検索
|
|
カウンター
|
|
アクセス解析
|