一見ゆるふわな座談会だが……
金子 「突然呼ばれたんですが、この集まりは?」
村山 「昨年末以降、各種サービスからの個人情報流出、企業への不正アクセスといったセキュリティに関する事件が絶えません。特にここ2ヵ月ほどは数日ごとにお詫びリリースが流れているという世紀末ぶりです。
そこで今月から毎月一回、ゆるふわっぷりに定評のあるASCII.jp編集部が、巷にあふれる事件をピックアップして、ランキングにしてしまおうという場です」
西牧 「速攻で数ヵ月間のニュースをかき集めろとか無茶ぶりされた理由はこれですか……」
金子 「というか、ゆるふわな人たちがセキュリティとかに手を出していいんですかね……(震え声)」
村山 「そこは問題ありません。ご意見番として、ジャーナリストの三上洋さんにお越しいただきました。我々の脱線しがちな議論をキリリと絞めてくださいます」
三上 「よろしくどうぞ!」
ご意見番:三上洋
携帯電話(料金、業界、有害サイト対策)、パソコンのセキュリティ(ウイルス、詐欺などへの安全対策)、節約・お得系(クレジットカード、ポイント、電子マネー)などを広く網羅するジャーナリスト。Ustream、ニコニコ動画などネット動画のプロデュースも行なっている。はなはだ心もとない編集部のゆるふわ漫談をキリッと引き締める、当座談会のご意見番。Twitterアカウントは@mikamiyoh
複数サービスで同一ID・パスワードを流用することの
危険性が浮き彫りに
村山 「初回なので、ランキングではなく今年に入ってからの大まかな出来事をピックアップしてみました。約5ヵ月分ですから、ぶっちゃけ、どれを取っても1位候補です」
- 米IT企業への不正アクセス多発
- 漏洩ID・パスワードを流用した不正アクセスが急増
- 韓国で大規模サイバー攻撃
- Windows XPサポート終了まで1年を切る
- Androidアプリを使ったワンクリック詐欺多発
- 米国への不正アクセスで米国防省が中国を名指しで批判
村山 「まずツイッターやグーグルといった米IT企業への不正アクセス多発が昨年末から3月あたりにかけて話題になりました。で、海の向こうは騒がしいなあと思っていたら、国内ではTSUTAYAやイーブックなどIDとパスワードが不正に使われる事件が連発しました」
金子 「なんか週に2回被害に遭ったケースもありましたよね。4日ぶり2回目、みたいな」
三上 「ID・パスワードによる不正アクセスですが、2つのパターンがありますね。1つはパスワードを総当り・辞書攻撃によって解読するもの。もう1つは、流出したパスワードを使う不正攻撃。このパターンは前者ですね」
村山 「昨今はGPUの性能がものすごく向上してしまったので、ブルートフォースアタックの速度が異常だとか。パスワード6文字とか1分かからず突破されちゃう」
三上 「総当りや辞書攻撃に加えて、どこかの会社から流出したIDとパスワードのリストを使って、あらゆるサービスに不正ログインを試みるという攻撃もありそうです。ディノスの場合、約111万件の不正アクセスがあって、そのうち約1万5000件は不正にログインまでされてしまったというデータが出ていました」
村山 「成功率1%超えってずいぶん高いですね」
三上 「今どきはパスワード固定のアタックが多いのだと思います。ユーザーID固定でパスワードを複数回試すと、5回でアウトになって丸一日ログインできないみたいな仕様があるじゃないですか。これの逆をやるんです。たとえば“helloworld”とパスワードを入れておいて、ユーザーIDを端から試していく。これならロックされずに延々仕掛けられる」
今流行の不正アクセス事件はパスワード固定のアタックが多いのでは(三上氏)
金子 「やはりユーザーIDとパスワードは定期的な変更が必要なんでしょうかね?」
西牧 「ただこれだけウェブサービスがあるなかで、使っているものすべてを定期的に変えるなんてことは不可能でしょ?」
三上 「これは勘違いされやすいんですけど、単に“パスワードを変更しましょう”じゃ駄目なんですよ。“1年に1度変更しましょう”とか呼びかけていますが、それをやっても安全性は高まらないんです。1年前のデータが流出した場合に限って大丈夫だというだけで、流出した時点で不正アクセスされたら、何ヵ月後に変更しても意味はない。さすがに3年も5年も一緒なのはまずいですけど。
それよりも共通化が一番の問題。メールに使っていたパスワードを、他のサービスでも使っていると、他のサービスでログインされちゃう可能性が高いんですね。またGmailやヤフーメールといった、メインで使っているメールアドレスのパスワードが知られると、パスワードリマインダーで全部取られちゃう」
村山 「サービスごとのIDではなく、登録する際のメールアドレス流出が最も危ないと」
三上 「ログインするときのIDがメールアドレスで、パスワードは共通です、みたいなね。かつて通販サイトから流出してヤフオク!(当時はYahoo!オークション)の乗っ取りが多発した事件があったのですが……」
Yahoo!JAPANのパスワードと秘密の質問&答えが流出した事件にまんまと巻き込まれた村山。Yahoo!JAPANからは登録情報更新のお願いが
金子 「あ、それニュース記事を書いた覚えがあります。ウェブサーバー上にIDとパスワードが置いてあったのを、脆弱性を突かれて持っていかれたとか」
三上 「当時のセキュリティはそんなレベルでしたよね(笑)。この事件が大規模になってしまった理由は、yahoo.co.jpのメールアドレスで登録している人のIDとパスワードのセットでYahoo!JAPANにアクセスしたら、結構な数がそのままログインできてしまったからです」
金子 「そしてそれらのアカウントを乗っ取ってヤフオク!で不正を繰り返したと」
三上 「これはかなり初期の乗っ取り事件でした。でもそれと同じ状況は今もきっと起きています。パスワードを共通にしている人が減らない限り。ただ、ディノスと、今話したようなタイプの不正アクセス事件は分けたほうがいいですね。ディノスはブルートフォースアタック。かつてのヤフオク!乗っ取りはリストが流出していて、それをそのまま横に使っているという感じかな」
村山 「しかし昨今はIDを共通にせざるを得ないケースが多いですよね。たとえばTwitterが“taro”だったら、Facebookもオンラインゲームの愛称も“taro”にしないと仲間とつながれないので」
