この記事は「日経トレンディ2013年9月号(8月3日発売)」から転載したものです。内容は基本的に発売日時点のものとなります。
「2200万件のユーザーID流出」(4月のヤフーの事例)などといったニュースを聞くと、たとえ情報管理を徹底しているユーザーであっても無力感にとらわれるだろう。とはいえ、きちんとした防御策を講じることは無駄ではない。対策を立てるにはまず、現在の侵入の手口を知っておく必要がある。
今年に入ってから特に増えているのが、「名簿(セットリスト)型」と呼ばれる攻撃・侵入の手口だ。侵入者はまず、海外の掲示板などで取引されている、他のウェブサービスから流出したユーザーIDとパスワードがセットになったリストを入手。そして、専用の攻撃ツール(パソコン用アプリ)などを使い、狙いを定めたウェブサービスに対してこれらのユーザーIDとパスワードを連続して送信する(不正アクセス)。多くのユーザーは複数のウェブサービスでユーザーIDとパスワードを使い回しているため、従来型の攻撃に比べて非常に高い確率でログインできてしまう(不正ログイン)。あとはアカウント情報を管理するページに入り、記載されている個人情報を抜き出す。これで、氏名、電話番号、生年月日、住所までが簡単に流出する。
トレンドマイクロの昨年の調査では、約7割のユーザーが、3種類以下のパスワードを約14ものサイトで使い回している実態が明らかになった。NTTレゾナントのポータル「goo」で、短い期間に10万件もの不正ログインが行われてしまった事例を見れば、パスワードの使い回しがいかに危険かはわかるだろう。
「秘密の質問」から不正ログイン!?
とはいえ、複雑な文字列を14サイト分も記憶しておくのは困難だ。紙に書き出し、それを紛失したら目も当てられない。多くのウェブサービスを使う人は、パスワード管理に特化したパソコン用・スマホ用アプリを利用すべき。入力したパスワードを自動保存する機能や、パソコンとスマホとの間で安全にパスワードを同期する機能もあり、使い勝手の面でも効果は大きい。
メールアドレスがそのままユーザーIDになるウェブサービスは多いため、アドレスを複数持っておくことも不正ログイン対策に有効。といっても、フリーメールのアカウントをいくつも開設する必要はない。実はグーグルの「Gmail」は、@の前の部分に「+」から始まる文字列を足しても、問題なく届く。例えば日経グループのサービスに登録するときは「***+nikkei@gmail.com」というアドレスを入力し、通販サイトに登録するときは「***+ec@gmail.com」などとしておけば、ユーザーIDの使い回しを防げるうえ、メールも問題なく受信できるのだ。
もう一つ、最近増えている手口として、「秘密の質問」を使った不正ログインが挙げられる。多くのウェブサービスでは、パスワードを忘れた際の再発行のために、登録時に秘密の質問」の設定を求められる。だが、よく使われる「ペットの名前」や「母親の旧姓」といった質問は、答えが非常に短く(「ポチ」「さとう」など)、容易に類推されてしまう。「ポチ」の後に特定の文字列を足す、そもそも全く異なる回答を用意するなどの対策を取るべきだ。
(文/有我武紘=日経トレンディ)
http://zasshi.news.yahoo.co.jp/article?a=20130809-01051379-trendy-sci
