スマートフォンのアプリストアからSNS、ECモール、チャットサービス、インターネットバンキング、そして会社の業務システムまで。私たちの生活はさまざまなオンラインサービスに支えられています。
複数のオンラインサービスを使いこなしていくことはとても快適ですが、面倒なのはログインのたびに求められるアカウント情報の入力と管理です。その煩わしさから逃れるために、私たちはつい同じIDとパスワードを複数のオンラインサービスで使い回しにしがちです。
でも、気をつけてください。安易なパスワードの使い回しには、あなたの想像を超える大きなリスクが潜んでいるのです。
オンラインサービスは危険と隣合わせ
2017年4月。Amazonの「マーケットプレイス」で、ネットショッピングを楽しむ人の背筋を凍りつかせるような詐欺事件が頻発しました。
人気商品を格安で出品して利用者から商品代金を騙し取るものですが、本当の狙いは取引を先延ばしにして利用者の個人情報を抜き取ることにあります。評価の高い業者の出品なので利用者も安心して購入したはずですが、実はそのアカウント(IDとパスワード)も休眠状態にある出品業者か犯人に乗っ取られたもの。詐欺被害に遭った利用者は、同じようにアカウントを悪用され、新たな購入者に商品を送る責任を負わされてしまう恐れがあります。誰もが気軽に商品を取引できる「マーケットプレイス」のシステムを逆手に取った悪質ななりすまし詐欺事件の被害は、実に400件以上にも及ぶとされています。
オンラインサービスを狙ったアカウントハッキングの被害は、ここ数年で増加の一途をたどっています。2014年にはFacebookやTwitterでユーザーになりすまして海外の有名ブランド雑貨などの激安ショップに誘導する投稿が多発し、2016年にはAmebaに登録する約60万件のアカウントが不正にログインされた事例が報告されています。
悪意ある第三者にアカウントを乗っ取られてしまうと、ユーザーが利用するオンラインサービスに不正にログインされ、なりすまし犯罪を成立させてしまいます。攻撃者はユーザーに代わってサービスを悪用するばかりか、プロフィール管理画面から住所や電話番号などの個人情報を抜き取り、登録するデータを改ざんすることさえも可能です。
ある日突然、あなたのすべてが失われる
仮に攻撃者に不正なログインを許したとしても、アカウント情報がそのオンラインサービスに限って設定されたものであれば、被害はそのサービスの中に留まります。しかし、IDとパスワードを複数のオンラインサービスでも使い回しにしていたら、どうでしょうか。
攻撃者は1つのオンラインサービスから流出したアカウント情報を使ってすべてのオンラインサービスにログインすることが可能になり、プライベート面でも仕事面でも深刻な影響を及ぼすことになりかねません。
- SNSのアカウントが乗っ取られ、覚えのない投稿や個人情報の流出により仲間の信用を失う
- オンラインゲームで蓄積した経験値やアイテムがいつの間にか消失している
- ネットバンキングにアクセスされ、第三者の口座に不正送金される
- 会社の業務システムにも不正にログインされ、重要な機密情報が漏えいする
- メールアカウントも乗っ取られ、ウイルス拡散や詐欺犯罪の手先とされる
ある日突然あなたのすべてが失われるというリスクが、IDとパスワードの使い回しには潜在しているのです。
パスワードの使い回しが攻撃者の狙い目
オンラインサービスにログインする際には、利用者本人であることを確認するためにユーザーIDとパスワードの入力を求められます。その際、ユーザーは利用するサービスごとにアカウント情報を設定するのは面倒だし覚えられないからと、名前や生年月日、電話番号などの頭の中にある文字列や数字を使用してIDとパスワードを設定し、それを使い回しにしがちです。
実際、独立行政法人情報処理推進機構(IPA)の調査では、実に56.7%のユーザーが同一のパスワードを複数のオンラインサービスで使い回している実態が報告され、その理由として最も多く示された回答が「パスワードを忘れてしまうから」というものでした。
*出展;IPA「オンライン本人認証方式の実態調査」報告書より
この安易なアカウント管理こそが、サイバー犯罪者達の狙い目です。悪意ある攻撃者は、ユーザーが複数のオンラインサービスで同じIDとパスワードを使い回している現状を熟知し、着実にハッキング可能な「パスワードリスト攻撃」を仕掛けてきます。
着実にログインを成立させるパスワードリスト攻撃
「パスワードリスト攻撃」とは、攻撃者が事前に入手したIDとパスワードのリストを使用し、複数のオンラインサービスに不正なログインを試みるサイバー攻撃です。
攻撃者はセキュリティの脆弱なオンラインサービスから漏えいしたアカウント情報やブラックマーケットから不正に入手したリストを用いますので、自動化ツールを用いて総当たり的にパスワードを解読するよりも不正なログインが成功しやすく、ユーザーがパスワードの使い回しをしていた場合はピンポイントでのログインが可能になります。
攻撃者は総当たり攻撃用の自動化ツールを併用して取得したパスワードの文字列をランダムに組み変えることもできますので、生年月日や電話番号の配列を利用した単純なパスワード設定ならば、抜き取られた個人情報から容易に推測されてしまいます。
不正なアプリのダウンロードを求めたりフィッシングサイトに誘導することもないためユーザー側が攻撃を察知することも難しく、正規のログインの手続きが行われているためにオンラインサービス提供側が攻撃を検知することも困難です。
複数のオンラインサービスで同じIDやパスワードを使い回したり、単純な文字配列でパスワードを設定することは、強盗の目の前に家のカギをぶらさげて首を差し出すのと同じ行為だと言えましょう。
オンラインサービスをより安全に楽しむために
パスワードリスト攻撃を回避するために、私たちが今すぐに取り組める対策は2つしかありません。
■パスワードを使い回しにしない
最も有効な対策は、利用するオンラインサービスごとに別々のIDとパスワードを設定していくことです。パスワードを定期的に変更したり、利用しないオンラインサービスの登録を抹消するなどの配慮も求められます。
■推測の容易なパスワードを設定しない
その際に、IDとはリンクしない英文字(大文字と小文字)、数字、記号を組み合わせ、8桁以上の配列でパスワードを設定することをお勧めします。自動入力プログラムは、4桁のパスワードなら10秒以内、6桁でも英文字だけなら1分以内にパスワードを解読できますが、8桁以上の複雑な文字配列では1000年の解読時間がかかることが報告されています。