アカウント乗っ取り対策はパスワードの管理から

ぼちぼち桜も咲き始め、寒い冬も終わり春がやってきました。春は新入学や入社など新しい生活が始まる季節ですね。それに伴い、新しく携帯電話を購入したり、SNSを始めたり学校や会社のWebサイトに登録したりなど新しいアカウントが沢山、作られる季節でもあります。

そんなわけで本日はアカウントにまつわるパスワードについてご説明したいと思います。

皆さんは現在いくつのアカウントをお持ちでしょうか?SNSだけでもfacebookやinstaglam、Twitterなど複数ありますし、銀行のインターネットバンキングを開設したり、Amazonや楽天などのショッピングモールなどざっと例を挙げてみても持ってないようで意外と数えると複数利用しているものです。これらを利用することでとても便利な生活ができるのはすばらしいことなのですが、反面、セキュリティについてもリスクが伴っているということを頭の片隅に入れておきたいところです。

これら会員サービスは通常、個人を認識するために、IDとパスワードを使用します。IDは個人を特定するものなので、メールアドレスを利用しているサービスも多く見られます。パスワードは本人しか知らない文字列ですが、このパスワードを多くのサービスで共通のものを設定している方が見受けられます。

普通に考えて、共通で使用しているとリスクが高くなるのはご理解いただけると思いますが、盗まれなければ大丈夫と軽く考えられているととても危険です。今年に入ってからも非常に多い、情報漏洩に関するニュース。攻撃者はなぜ、個人情報を盗むのか考えたことがありますか?もちろん、インターネットバンキングのパスワードを盗んで、攻撃者自身が他人の口座からお金を不正送金させることも多いですが、実は漏洩させた個人情報リストを買い取って販売している組織が存在します。いわゆるブラックマーケットと呼ばれるもので、犯人はリストを売って換金します。買い取った別の犯人は、このリストを使い、ありとあらゆるサービスにログインを試みます。これを「リストアタック」と言います。リストアタックもコンピュータを使って自動で行うので簡単に行えます。このとき、パスワードを使いまわしていると複数のサービスに不正ログインされてしまうのです。

また銀行など金融機関では不正送金被害の補償制度を設けていますが、パスワードの使いまわしが分った場合は保証額が下がるところがほとんどです。

アカウントが乗っ取られると何をされてしまう!?

警察庁が発表した(※1)2015年の不正アクセス発生状況に関する報告では、不正ログイン後に行われた行為の内訳では、「インターネットバンキングでの不正送金」が最も多く(1531件)、続いて「インターネットショッピングでの不正購入」(167件)、「オンラインゲーム、コミュニティサイトの不正操作」(96件)、「メールの盗み見等の情報の不正入手」(92件)、「知人になりすましての情報発信」(83件)となり、深刻な被害につながっていることが分かります。


※1:出典:平成27年における不正アクセス行為の発生状況等の公表について(警察庁)
https://www.npa.go.jp/cyber/pdf/h280324_access.pdf

みなさん、実際に被害に遭われてからどうしよう、と思われがちですが被害に遭ってからそれを収束させるよりもパスワードの管理をきちんとする方が何倍も簡単です。パスワードの管理は自己責任のもと、管理をしたいですね。

<