不正アクセス

7payによる5,500万円の不正チャージ発覚の件で騒がれているのだけど、おそらくパスワードリスト攻撃によって不正チャージされた事件。

ここ最近、ポピュラーな手口でかつ、楽な攻撃手口なんだろうなぁ〜と思っている。

この、パスワードリスト攻撃、平成25年(2013年)に総務省が注意喚起していたりする。ただ、対象が、サイト管理者などのインターネットサービス提供事業者向けの対策集の公表だけだったので、消費者に対しても注意喚起すれば良かっただろうに…。

総務省 パスワードリスト攻撃対策

 

イオンクレジットサービスは2019年6月13日までに、少なくとも708件のクレジットカードにおいて約2,200万円の不正利用被害が生じたと明らかにした。知っているかい?ここで、イオンクレジットサービスは、次の3点に関して、注意喚起した。

(1)他のサービスでご利用になっているパスワードを使用しない。
(2)定期的にパスワードを変更し、過去に使用したものは極力使用しない。
(3)第三者が容易に推測できるパスワードを使用しない。

つまり、パスワードの使い回しはせず、定期的にパスワードを更新しろ、と。そして、第三者が憶測できるパスワードとは、だいたい辞書に載っている単語は使うな、といったところだ。

 

そういえば、コジマでもあったね。2019年5月23日リリースで、会員23人のポイント計数十万円分が、本人に無断で商品購入に使われたとして、対策は次の2点あげて注意喚起した。

①他のWebサイト等と同一の会員ID・パスワードを使用しない。
②コジマネットのパスワードを定期的に変更する。

ように、パスワードの使い回しはせず、定期的にパスワードを更新しろ、ということだ。

 

ヤマダ電機でもあったね。2019年5月29日リリース、最大37,832件のクレジットカード情報が流出した可能性。その後のリリースが無いし、ヤマダ電機のトップ画面からも記事が消えている。

 

2019年7月3日リリースで、石井スポーツでも発生している。不正アクセスで650名のカード情報とかが漏れたというのだ。そこでの会員者は、パスワードは変えなきゃいけないよね。そして、他のサイトで同じパスワードを利用していれば、パスワードを変える必要がある。この件では、「カード名義人名」「クレジットカード番号」「有効期限」「セキュリティコード」が漏れている可能性があるので、極めて深刻だろうなぁ。完全に成りすましができてしまう。

 

もっとも大きな話題性な事件があったあった。ユニクロ、GU(ジーユー)で、46.1万人ものの不正ログイン。ここで対策を呼びかけているのは2つ。

1.他社サービスとは異なるパスワードを設定する。
2.第三者が容易に推測できるパスワードを使用しない。

パスワードの使い回しはしない、ということだねぇ。

 

2019年初に宅ふぁいる便が、約481万件(①ビジネスプラス会員(有料会員) 2万2,569件②プレミアム会員(無料会員) 475万329件③退会者 4万2,501件 合計 481万5,399件)の「氏名(ふりがな)、ログイン用メールアドレス、ログインパスワード、生年月日、性別、 職業・業種・職種※、居住地の都道府県名、メールアドレス2、メールアドレス3」という膨大な情報が流出している。

 

2019年3月29日リリースでトヨタは約310万件の顧客情報流出。

 

まぁ、まだまだあるわけですが、こう簡単に情報流出する時代ですよ。ウェブサービスを利用する、オンラインサービスを利用する。そもそも、インターネット接続することは、自己責任なわけだから、それなりの対策をしてオンライン接続が必要なんだろう、と考えてしまう。

情報流出も、頻繁に行われ、こういったリリースされたころには、もはや、認証情報は転売され終わっているだろう、と思えば、パスワードを定期的に更新するといった、パスワード適切管理が必要なんだろう、と気づけば幸いだ。

相手を責める前に、まずは、自らの楽な運用をしていたパスワード設定を見直し、適切なパスワード管理が必要だ。そして、サービス提供者は、多要素認証(2段階認証等)を利用し、1個目のパスワードで不正認証がされても、2個目のワンタイムパスワードで認証されなければ、ログインできないというセキュリティ対策は検討が必要だ。

 

読者の方々は、個人情報って、よくまぁ、漏れているんだな、というのを自覚いただければ幸いだ。

おすすめの記事