時事セキュリティが5分でわかる 第2回

ユーザーのアカウント情報使いまわしが不正ログインを拡大させる

突然のアカウント乗っ取り事件続発！　どう防げばいいのか？

「いまや確実に安全を保つ方法はないと言っていいでしょう。不正アクセスされる確率が下がるような手段を地道に取っていくしかありません」（ITジャーナリストの三上洋氏）

今回の大規模なアカウント乗っ取りは
超大手ポータルとプロバイダーへの不正アクセスと関係あり？

　6月13～17日にかけて、大手のメッセージングサービスやSNS、動画共有サービスなどの運営会社3社が、大規模な「不正ログイン」の被害があったことを報告した。いずれもユーザー数の多い人気サービスで、影響の大きさもケタ違い。マスコミ各社も相次いで人気サービスの不正ログインを報じる事態となった。

　大規模な不正ログインが起きたそもそもの原因はどこにあるのだろう？　セキュリティの分野に造詣が深いITジャーナリストの三上洋氏は、「そもそもの発端としては、昨年の初夏頃にあった、大手のポータルサイトおよびプロバイダーを標的とした不正アクセスによる大規模流出が挙げられます」と話す。

　それらの不正アクセスは2013年の5月と7月に明らかになったものだ。いずれもサーバーを標的としたもので、それぞれ2200万件、約400万件程度のユーザーID・パスワード（暗号化されたハッシュ値）が流出したとされている。

　では、暗号化されているはずのパスワードが、なぜクラッカー集団の手に渡ってしまったのだろう。また、今回の事件とはまったく関係ないサービスのユーザーID大規模流出が、他社サービスの不正ログインにつながってしまった理由は？　順を追って、三上氏に解説してもらった。

　「昨年のサーバーを標的とした攻撃で流出したのは、ユーザーIDと、暗号化され『ハッシュ値』と呼ばれるパスワードの合致・非合致を判定する情報です。ハッシュ値そのものは、本来なら流出しても直ちにパスワードにつながるものではありません。ただし、何百万件、何千万件単位での流出になると、パスワードが流出するのと変わらないくらい危険です。

　パスワードとして規則的な数字や英字の羅列（「誕生日」や「123456」「abcdefg」といった単純なもの）を設定するユーザーは依然として多いです。同一のパスワードには、当然同一のハッシュ値が割り当てられるので、流出した何百万件の中には、同じハッシュ値が多く存在するということになります。

　そうなると、ハッシュ値の演算方法が推測できてしまうのです。演算方法が判明すれば、暗号化されているハッシュ値から、パスワードが導けるようになります。こうしてクラッカーは『ユーザーIDとパスワードが紐づいた情報のリスト』を手にします。リストは、オンライン上で匿名で取引され、また別のクラッカーたちにも出回ることになります」

いちサービスの情報流出で不正アクセスが続発する理由は
ユーザーがアカウント情報を使い回しているから

　しかしリストとして出回ったのは、「ポータルおよびプロバイダーのユーザーIDとパスワードのリスト」なはず。なぜ今回、他社サービスへの不正ログインが相次いだのだろう？

　この点について三上氏は、ユーザー自身のパスワード管理方法に問題があると指摘する。例えば、A社のメールアドレスをメインのアドレスとして使っている場合に、「A社のメールアドレス」+「A社のメールにログインするパスワード」を「B社のサービスのログイン用ID」+「B社のサービスにログインするパスワード」といった具合に流用してしまうユーザーが非常に多いのだという。

　不正ログインを狙うクラッカーたちは、IDとパスワードの組み合わせリストを入手すると、連続的に数々のサービスにログインするスクリプトを使って、次々に不正ログインを試みる「リスト型攻撃」を仕掛ける。「流出したメールアドレス+パスワード」の組み合わせを流用しているサービスには、このリスト型攻撃によってそのままログインされてしまうというわけだ。

大規模なアカウント乗っ取りは金銭目的
勝手にプリペイドポイントを買われてしまう被害が目立つ

　今回の大規模な不正ログインの犯人像について、三上氏はこう推測する。「膨大な量のパスワードを解析し、膨大な回数の不正ログインを試みている今回の事例は、（前例に照らし合わせると）クラッカー集団による組織的な犯行と類推できます。実際の被害報告からも分かる通り、金銭目的の犯行でしょう。

　被害は大きく分けて2パターン。一つは直接的で、Tポイントなどポイントサービスの残高を、通販サイトやコンテンツ配信サービスなどのプリペイドポイントに変え、オークションなどで換金してしまうパターンです。これはプリペイドポイントの入手から、換金までをほぼメールのやり取りのみでできてしまいます。

　もう1つは、メッセージングサービスから、電話帳に登録されている『ともだち』にプリペイドポイントなどの購入をうながすパターンです」

　後者では、「今ちょっと忙しいから、立て替えておいて欲しい」など乗っ取ったアカウントから友人・知人を装う手口が報告されているという。

今や絶対に安全な方法はない
どうすれば「比較的安全か」を考えるべき

　直接的な金銭の被害が発生するアカウントの乗っ取り。不正ログインから大切なアカウントを守るための対策を、三上氏にきいた。

　「メールアドレスは共通でも構いませんが、サービスごとにパスワードを変えるのはマストといっていいでしょう。様々なサービスを2つか3つくらいのパスワードで管理していると、不正ログインの被害に遭う確率は飛躍的に高まります。

　数十のパスワードを覚えて管理するのはなかなか難しいので、パスワード管理ソフトなどを利用するか、エクセルなどで管理表を作り、パスワードをかけておくのが望ましいと思います。もっとアナログ的に、紙に書いて記録しておくのも有効です」

　一方で三上氏はこうも語る。「不正ログインが増加している昨今、『こうすれば絶対に安全、絶対に流出しない』という方法はありません。パスワード管理ソフトのなかにはオンライン上にパスワードを保存しておくタイプのものもあり、ここから流出する可能性もゼロとは言い切れないのが実情です。

　エクセルや紙に記録しておく方法は、以前なら『盗み見られると危険なのでやめよう』とセキュリティ企業やIT企業が周知していました。しかし、不正アクセス、不正ログインが増加している昨今では、『様々なサービスを同一のパスワードで利用するよりは安全』なのです。もっとも、『比較的安全』という話にはなってしまいますが。

　やはり最も重要なのは、サービスごとにパスワードを変えておくことです。それを大前提とした上で、どの方法で管理すれば最も不正ログインのリスクが低くなるのか、ユーザー各々が考え、自分に合った方法で管理することが大切になっています」