/

危険な「パスワード使い回し」 不正アクセス防ぐのは消費者自身

ラック 専務理事 西本 逸郎

4月に入ってから、日本の大手サイトでアカウント情報を悪用したアクセス被害が続出している。不正ログインが疑われるアカウントが10万件以上に達することを明らかにしたNTTレゾナントの検索サイト「goo」をはじめ、東日本電信電話の「フレッツ光メンバーズクラブ」、イーブックイニシアティブジャパンの電子書籍販売サイト「eBook Japan」などで立て続けに同様の事件が発生した。

不正アクセスされたgooのIDではパスワードを再設定するまではロック画面が表示される

これらのサイトでは、特定のIPアドレスから数千~数万件という大量のアカウントへのログインがあったことで不正アクセスが発覚。そして、実際にいずれのサイトも数百件のアカウントについて、正しいアカウントとパスワードで不正なログインに成功してしまっている。その結果、アカウントのロックやパスワードのリセットといった対処をする羽目となり、ユーザーにとっても大きな影響が出た。

今回の事件で狙われたのは、一般に広く使われている比較的身近なサイトであった。そのため、インターネット上では様々な反応が見られた。筆者が、その中で気になったのは次のようなものだ。

「いまだに、不正ログインを許すとはどういうセキュリティー対策をしているのか」

「大手有名企業でありながらセキュリティーをおろそかにしているのではないか」

こうした反応を見て筆者が感じたのは、実際に何が起きているのかを把握している人はまだまだ少ないということだ。

狙われたのはIDとパスワード

事件の真相は、同一犯なのかどうかを含め現時点では不明である。今回は、筆者なりの見立てを基に利用者として心がけるべきことを、警鐘の意味を込めて指摘したい。

ラックのセキュリティ監視センター

一連の不正アクセス事件で狙われたのは、インターネットを利用する全員にとって身近なIDとパスワードという情報である。ぜひ正しく理解して、適切な対策をとってもらいたい。

IDとパスワードは、会員制のサイトを利用するために必要な情報である。認証情報といわれる通り、サイトを利用するための本人確認や身分証明書といえるものだ。逆に、正しいIDとパスワードを使って認証を突破し、あたかも本人になりすまして利用したのが今回の事件である。

 ちなみに、ほぼ同時期に「Yahoo Japan」でも会員約1277万人分のアカウント情報に対して不正アクセスがあったと、運営元のヤフーが発表した。この事件は、内部に侵入した不正プログラムが、会員情報のデータベースに不正アクセスしていたところを発見したもので、内容としては今回取り上げる一連の事件とは全く別物である。

eBook Japanの報告では数回のパスワード入力で突破されていることがわかる

ヤフーの事件は、いってみれば「何者かが社内に侵入し、金庫をこじ開けて保管してあった身分証明書を盗み出そうとした」ものである。一方、今回取り上げるgooなどの不正アクセス事件は「なんらかの方法で入手した身分証明書を門番に差し出して、そのまま通常の会員として中に入った」事件といえるだろう。

攻撃の標的として狙われたのも、ヤフーの場合はヤフー自身だったのに対し、gooなどの事件では利用者が普段使っている身分証明書である。つまり、セキュリティー対策に気をつけなければいけないのは、なりすましのログインを許してしまったサイト側ではなく、一義的には利用者自身なのだ。

6.7%の人がパスワードを使いまわし

どうして、今回のような事件が発生してしまったのだろう。

今回の攻撃では当初、パスワードを手当たり次第に試す「ブルートフォース」と呼ぶ手法が疑われた。だが、被害にあった各サイトで攻撃内容を分析したところ、いずれも1回か、せいぜい数回程度しかログインを試していなかった。つまり、まるっきりの当てずっぽうではなく、あらかじめあたりをつけたIDとパスワードを使って不正ログインしていたことになる。

 そこで疑われるのは、何らかの方法で取得したIDとパスワードのリストを使って、別のサイトにログインを実行していたのではないかということである。インターネット利用者の多くが複数サイトで同一のIDとパスワードを使い回ししている状況に目をつけた不正アクセスで、専門家の間では以前から問題となっていた。

警察庁が2012年3月15日に公開した「連続自動入力プログラムによる不正ログイン攻撃の観測結果」という資料によると、この攻撃による侵入率は6.7%だったという。ここでいう"連続自動入力プログラムによる不正ログイン攻撃"とは、「IDとパスワードのリストを使って、いろんなサイトに対して自動ログインを実行する手口の攻撃」のことである。つまり、それだけの利用者がパスワードを使いまわしているとみることができる。今回の事件も、この点を狙ったと考えるのが妥当だ。

不正取得したIDとパスワードのリストを使ってサイトへの不正アクセスを繰り返す自動プログラムがある(警察庁の資料から)

これが、恐らく今回起きている一連の事件のポイントである。既にどこかで漏れたアカウント情報を犯人が使用して、様々なサイトで利用できるかどうかを検証していたと考えるのが、正解に近いと筆者は推測している。

こうした攻撃が一般に使われ出したことで、いったんどこかが突破されると当該サイトでなりすまし被害にあう可能性があるのはもちろん、その突破されたアカウント情報を他のサイトでも悪用してしまう恐れが出てきた。

教科書通りのパスワードは非現実的

どうしてパスワードを使いまわすのだろう。

望まれるパスワードの条件として、一般に「推測されにくく辞書に載っていない文字列で英大小文字数字記号を組み合わせてメモに書かないこと」という。だが、その条件を満たすパスワードを、実際に20個も30個も覚えていられる人がどれだけいるだろう。

 これは、実印のほかに各銀行ごとの銀行印、印を押す相手ごとに認印を作製しているようなものだ。もしそんな運用をしたら、普通の人はどこでどの印鑑を使用しているのか、わからなくなってしまう。はっきり言って現実的ではない。IDとパスワードも同様で、できれば同じものを使いまわしたいと考える人は多いに違いない。

パスワード管理は利用者の責任

フレッツ光メンバーズクラブでは全ユーザーのアカウントをロックしてパスワードの再設定を求めている

日本ではあらゆる責任をサービス提供者側に求めて、利用者側にはなかなか対応を求めづらい状況がある弊害も指摘しておきたい。被害にあったサイトからの案内だけでなく、報道も含めて、利用者の管理に原因があると説明し、積極的に対処する必要性を指摘することは皆無といっていい。そのため、利用者が自身の落ち度に気づかない。

不正使用の被害をサイト側で被害者に補填することもよくある。これは、日本のよいところともいえるが、見えないところで実際の被害がさらに広がる懸念もある。さらに、そうした行為が真面目に対策している大多数の利用者に対して、本来は不必要な負担となっているかもしれない。

だが、そんなことをいっても仕方がない。狙われているのは利用者のIDとパスワードで、被害を受けるのは自分自身である。賢明な利用者としては、これらを安全に管理していくしかない。具体的な方法は、以前の記事で紹介したので参考にしていただきたい。

なお、アカウント管理の徹底が必要なのは利用者だけではない。昨今では、サイト管理者のアカウントも標的となっており、一般的にはあまり話題となっていないが実際に事件も起きている。管理者が安易なパスワードを使用していたり、同じパスワードを使い回すなど管理が甘いとサイトを乗っ取られてしまう。そして、そこで管理している利用者のアカウント情報や個人情報を窃取されるだけではなく、多くの利用者にも迷惑をかける事態が多発している。

サイトを持つことへのハードルが下がり、大量のサイト管理者が誕生している昨今、その自覚に欠如し、被害に遭遇しているサイトも多々見られる。利用者は、こういったいいかげんなサイトも見破っていかないといけないし、管理が不適切だと利用者とその信頼を失い挽回不可能な状態に陥る可能性を認識することが重要だ。

西本 逸郎(にしもと・いつろう) ラック CTO 専務理事。北九州市出身。1986年ラック入社。2000年よりサイバーセキュリティー分野にて、新たな脅威に取り組んでいる。日本スマートフォンセキュリティ協会 事務局長、セキュリティ・キャンプ実施協議会 事務局長などを兼務。著書は「国・企業・メディアが決して語らないサイバー戦争の真実」(中経出版)

すべての記事が読み放題
有料会員が初回1カ月無料

セレクション

トレンドウオッチ

新着

ビジネス

暮らし

ゆとり

新着

ビジネス

暮らし

ゆとり

新着

ビジネス

暮らし

ゆとり

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン