盗まれたID、パスワード、その先どうなるの?盗まれる前に対策を!様々なWEBサービスで情報漏えいが問題に。

特集記事

最近、個人情報流出(情報漏えい)のニュースを見ることが多くなっています。
自分の利用しているサービスが、事故を起こしたという方も多いと思います。
ところで盗難された個人情報、いったいどうなっているのでしょう?
どんな行動をとったらいいのかご存知ですか?

今回は、盗まれた情報がどうやって悪用されるのか?その裏側の仕組みについて、わかりやすく説明してみたいと思います。

180726_4.jpg

盗まれた個人情報で起きた具体的な事件とは

今年8月に大手携帯電話会社のオンラインストアで、携帯電話契約者のアカウントを不正に利用してiPhone Xが1,000台購入され、搾取されるという事件が発覚しました。

ITメディア:「iPhone X」不正購入被害1000件 「ドコモオンラインショップ」に不正ログイン、リスト型攻撃で
http://www.itmedia.co.jp/news/articles/1808/13/news084.html

契約者には、携帯電話料金と一緒に請求が行きました。複数の苦情が入って調査したところ、同時期に類似する事案が発生しており、犯罪グループの犯行だと分かったということでした。

犯人はどうやってログインした?

ニュースでは「リスト型攻撃」と記載があります。これは、どこからか盗まれたリストを準備し、それを使ってログイン試行する手口です。ID、パスワードの使い回しをしているユーザーが被害にあったと考えられます。

ここからがポイントです。

攻撃用のIDパスワードリストをどこから手に入れたのでしょう?
iPhone Xを搾取した犯罪グループではなく、個人情報の盗難を専業とする別な犯罪グループだと考えられています。
最近のネット犯罪グループは、分業化、専業化が進んでいます。

盛んに報道されている「企業の個人情報流出」、それに加え2018年は、企業の事件以外にも、直接個人を狙った「フィッシング詐欺」が急激に増加しており、大きな問題となっています。

騙し手口も進化を続けている

フィッシング詐欺は、ばら撒いた餌(偽メール)に食いついたユーザーが自分からやってきて、獲物(ID、パスワード)を置いていってくれるという、犯罪者にとってリスクも少なく、非常に効率の良い手口です。
Apple IDなどは、犯罪者が利用するブラックマーケットでは、1件あたり1,500円程度で売られているという調査もあります。

数年前は、見分けるポイントとして以下のようなものがありました。

  • 偽メールの文面の日本語がおかしい、簡体文字(中国のフォント)が使用されている
  • 表示画面のURLのドメインが不審なものになっている
  • 表示されるURLの最初が「https」(暗号化通信)になっていない
  • 本物とデザインが微妙に異なる

しかし今ではすっかりそのような特徴は無くなり、一見して偽サイトを見分けることは、非常に困難になっています。

企業は企業で、侵入のID パスワードを盗られて、情報をごっそり盗まれてしまう。
個人は個人で、巧妙な手口で気づかないうちに認証情報を入力させられてしまう。

こんな状況の中で、何か打つ手はあるのでしょうか?

認証情報を盗まれても、不正利用はさせない「2要素認証」

いま、アカウントの不正利用防止に「とても有効」とされている方法があります。
「2要素認証」「2段階認証」といわれる、ID、パスワード以外のもう1つの認証を追加する方法です。

Google、Apple、Amazon、LINE、Facebookなどの大手の事業者では、この2要素認証の設定が可能です。
ID、パスワードが盗まれても、通常使用していない機器からアクセスがあった場合、あなたの手元のスマホに「確認コード」が送られてきます。それを入力しない限りアカウントへログインできません。
銀行のワンタイムパスワードなどもその1つですね。

180620_3.jpeg

具体的な対策とは?

1)ID、パスワードの変更と、パスワード使いまわしを止める
サービス事業者によって、やり方が少し異なりますが、安全のために必ずやっておいてください。

2)2要素認証が利用できるサービスは、全て設定しておく
利用するサービス事業者からの情報漏えいがあった場合や、自分がアクセスしたログイン画面にちょっとでも不安があったら、パスワードの変更を必ず行ないましょう。

3)異なるIDを使う
大手でも、2要素認証の無い事業者はあります。その場合、IDとなるメールアドレスを、別にして作っておく、登録するクレジットカードを専用のものにするなど分離しておくと、被害に遭った場合に判明しやすくなります。

自分のアカウントを守る方法、皆さんもぜひ実践してみてください。

BBSS オンラインセキュリティラボ
シニアエヴァンジェリスト 山本和輝

ネット詐欺対策専用ソフトを使用してブロックする!
市販されている総合セキュリティソフトにも、フィッシング対策機能はついていますが、あまり役に立っていません。
これは犯罪グループが詐欺サイトに非常に多数のURLを使用するため、セキュリティベンダーが公的機関を通じて入手するURLは全体のほんの一部でしか無いからです。また24時間以内に消滅するものが多いため、ブラックリスト追加も間に合いません。BBSSの提供する「Internet SagiWall」(インターネットサギウォール)は、未知の詐欺サイトも危険度を自動解析して警告を出してブロックします。これからは、総合セキュリティ対策ソフト+ネット詐欺専用対策ソフトの組み合わせ利用が、ネット犯罪被害を防止するために必要です。