＜狙われるパスワード＞（朝日4/8朝刊）｜同じもの使い回し厳禁 目的は「カネ」、相次ぐ不正送金

今朝の朝日新聞37面「社会」の一面にデカデカと「狙われるパスワード」という記事が掲載されていた。　「なぜ、こんなにデカデカ」と思ったが…そう言えば、このところパスワード流出に関する報道が多い。　先週の4日から6日にかけても以下のような報道がなされいた（朝日の記事はこの後にクリップして掲載）――

■　Yahoo! JAPAN、不正プログラムで127万件分のID情報抽出、情報流出はなし
（ITpro 2013/04/04）

ヤフーは2013年4月4日、同社のポータルサイト「Yahoo! JAPAN」の管理に使われているサーバーで不正なアクセスを検知した事実を発表した。同社の説明によれば、4月2日21時10分頃に、社内サーバーの内部でサイト利用者がログインに使うための「Yahoo! JAPAN ID」のデータを大量に抽出する不正プログラムが作動していることを確認。直ちに不正プログラムを強制停止した。外部への情報流出はなかったことを確認したという….　 http://itpro.nikkeibp.co.jp/article/NEWS/20130404/468761/

■　「gooID」に対する不正ログイン要求が継続中、約7万アカウントを追加でロック
（ITpro 2013/04/04）

NTTレゾナントは2013年4月4日、同社のサービス「gooID」に対する不正なログイン要求が継続していると発表した。同社は4月3日、「gooID」に不正なログイン要求があり、約3万アカウントをロックし対処したことを明らかにしていた▼同社によれば、4月2日の午前11時30分ごろから、gooIDに対して、機械的なログイン要求が4月3日、4月4日と断続的に行われているという。すでに約3万アカウントに対してログインロックを実施したが、新たに約7万アカウントに対してもロックを施した。ロックを実施したアカウントの総数は約10万となる。ログインロックしたアカウントを持つユーザーに対してはパスワード変更を依頼している…　　http://itpro.nikkeibp.co.jp/article/NEWS/20130404/468662/

■　NTT東日本のフレッツ光会員サイトに不正アクセス、ログインを停止
（ITpro 2013/04/05）

NTT東日本は2013年4月4日、同社が運営するフレッツ光の会員制プログラム「フレッツ光メンバーズクラブ」の会員サイトに対する不正アクセスを検知し、アクセス遮断などを実施したと発表した。30アカウントに不正ログインされニックネームと保有ポイント数が閲覧された可能性があるという。4月5日12時現在、会員サイトへのログインを停止している…　　 http://itpro.nikkeibp.co.jp/article/NEWS/20130405/468884/

■　CCCのサイトに不正ログイン、Tポイント不正利用で発覚　（ITpro 2013/04/06）

カルチュア・コンビニエンス・クラブ（CCC）は2013年4月5日、同社が運営する「Tサイト」でなりすましによる不正ログインが発生したと発表した。299個のIDのTポイントが、なりすましにより不正利用されたという▼CCCによれば、2013年3月27日、会員より「身に覚えのないTポイント利用履歴がある」との問い合わせがあった。該当サービスを即時停止し、セキュリティ専門会社と調査を行ったところ、会員になりすましてIDとパスワードを使用した不正ログインによるTポイントギフトの利用を確認した▼なりすまし被害が発生した時期は2013年3月26日。なりすましによる不正ログインによってTポイントが利用されたIDの数は299個だったという….  　http://itpro.nikkeibp.co.jp/article/NEWS/20130406/469081/?mln

用心、用心…オット、本題の朝日の記事だがクリップして掲載したい。　こういう内容の記事です、ご参考までに――
＜狙われるパスワード＞　同じもの使い回し厳禁
（朝日朝刊　2013-4-8 37面「社会」）

ネット通販やオンラインバンキングなどの利用に欠かせない「パスワード」。ハッカーたちは、あらゆる手段を使って、あなたのパスワードを狙っている。

「見せたいものがある」

今年初め、取材で知り合った日本人ハッカーの１人が送ってきた１通のメール。添付ファイルを開くと、アルファベットと数字が並んだ膨大な文字列が画面いっぱいに表示された。

■ネット上で闇売買

「ｉＰｈｏｎｅとｉＰａｄのユーザーＩＤとパスワードです」。メールの文面には、ネット上の闇市場で１件１０ドル前後で売られていた、との説明があった。

これは本物なのか。

ＩＤからたどることができた２４件の利用者に取材した。関西の冠婚葬祭会社の男性社員は、顧客への説明にｉＰａｄを使っていた。記者が伝えたＩＤとパスワードには覚えがあった。見知らぬ中国語のアプリがダウンロードされたため、今年に入り変えた、元のパスワードだった。

昨夏、ｉＰａｄと接続していたパソコンがウイルスに感染。よく利用するサイトに「契約情報の確認」という画面が突然現れ、指示されるままＩＤとパスワードを打ち込んでいた。

偽の画面にパスワードなどを入力させ、盗み取る「フィッシング」の被害に遭った可能性が高い。男性は「なぜ私が狙われたのか。本当に気持ちが悪い」と憤る。

■１台が月４０００万回攻撃

日本最大のネットオークションを運営する「ヤフー」。ひと月５１０億回のアクセスをさばく裏で、不正侵入を企てるサイバー攻撃にさらされている。その現状を、朝日新聞の取材に初めて明らかにした。

４２６５万１７３５回――。３月８日までの１カ月間に１台のコンピューターが攻撃を続け、ヤフー側が防いだ回数だ。発信元は国内。同じ時期、中国や韓国国内のコンピューターからも、３００万回以上の攻撃があった。ＩＤとパスワードに使われそうな「単語帳」をもとに、例えば１秒間に数十回、侵入を試みる手口。「辞書攻撃」と呼ばれ、成功率は低い。

ところが２年ほど前から、実在するＩＤとパスワードを使い、一度も失敗せず不正侵入に成功するケースが出てきている。

「百発百中攻撃」。同社のセキュリティー部門トップ、戸田薫さんはこう呼んでいる。調査の結果、思わぬ原因が見えてきた。

「ヤフーと同じＩＤとパスワードを他でも使い、それが盗まれて不正侵入に悪用されたようだ。これでは防げない」

ネット通販はもちろん、フェイスブックやツイッターなど、ネットサービスを使うたびにＩＤとパスワードが求められる。覚えきれなくなり、同じものを使い回す。利用者のそんな行動が見て取れる。

■不正侵入の報告次々

警察庁によると、国内では昨年５月～今年３月、約１１万４千件の不正侵入が企業から報告された。今月、検索サイト「ｇｏｏ」で約１０万件の不正侵入が見つかった問題でも、使い回しが原因で破られた可能性が指摘されている。仮に使い回しをしているＩＤとパスワードがハッカーの手に渡り、次々と侵入に成功されれば、個人情報や所属企業の機密情報などが根こそぎ奪われる可能性すらある。

「使い回しは誰もが経験しているのではないか。被害が連鎖的に広がるリスクを覚悟した方がいい」。米セキュリティー大手マカフィーの本橋裕次・サイバー戦略室長は警告する。

＜目的は「カネ」、相次ぐ不正送金＞

ハッカーがＩＤやパスワードを狙う目的は、ずばり「カネ」だ。

昨年秋、国内のオンラインバンキングの不正送金事件が相次ぎ発覚した。警察庁によると、偽の画面にＩＤやパスワード、暗証番号を入力させる手口で、昨年１年間で約４９００万円の被害を確認。今年は２月中旬までに約２７００万円の被害が確認されたという。

海外では昨年、欧州を舞台に６０億円以上が不正送金される事件が起きた。イタリアを皮切りに、ドイツ、オランダと６０以上の金融機関に飛び火した。摘発に協力したマカフィーの報告書によれば、金融機関への侵入にはサーバー６０台が使われた。被害者に送金が気づかれぬよう通知を届かなくしたり、残高の画面を改ざんしたりしていた。

世界のサイバー攻撃を研究する独立行政法人・情報処理推進機構の加賀谷伸一郎調査役によると、発信元の国の時間でみると、攻撃は午前９時から正午にかけて活発化し、再び午後２時から同５時まで活発化する傾向があるという。「出勤してひと仕事。昼休みをとって、また活動。会社員のような行動に見える」

■守るためには？

攻撃のプロが「ビジネス」として狙うパスワード。守るすべはあるのか。

加賀谷調査役はまず、ＩＤやパスワードの使い回しは絶対に避けるよう強調。そのうえで、８桁以上の英数字の不規則な組み合わせを勧める。アルファベットの大文字と小文字の５２字、０～９の数字１０字の計６２字を８桁並べれば、約２１８兆通り。１０桁なら約８４京通りとなる。さらに記号を加えれば、解読は相当難しくなる。

オンラインバンキングなどを利用するたび、携帯電話などに届く一度限りの暗証番号「ワンタイム・パスワード」も有効だという。

加賀谷調査役は「パスワードの使い回しをしなければ仮に漏れても被害は最小限に食い止められる。残念ながら、セキュリティーが破られる最大の要因は『人間』なんです」。

◇
◇