このページの本文へ

時事セキュリティが5分でわかる 第14回

『IDとパスワードでログイン』という方法そのものに限界がきている?

SNS乗っ取りスパム、犯人は海外の詐欺業者だった!?

2015年02月11日 18時00分更新

文● まかふぃーぶ

  • この記事をはてなブックマークに追加
  • 本文印刷

 最近気になるセキュリティ事件のあらましをざっくり解説! 注目点とユーザーレベルでの対策をお伝えします。連載一覧はこちら

もはやお馴染みとなった感もあるSNSのスパムだが、今回は様子がおかしい……?

ただ拡散しているのではないらしい!?

 今年に入ってから、大手SNSでにわかに見られるようになった、怪し気なブランド品販売サイトのスパム。内容は海外人気ブランドの製品が「激安」あるいは「半額」で購入できるといったものだ。

 これまでも、同SNSではこれに類似したスパムが報告されてきたが、今回の事例が従来と大きく違うのは、「一般ユーザーのアカウント」から発信されている点にある。

 従来のスパムは基本的に「連携アプリ」の体裁をとっており、知らないうちにユーザーが連携認証をしてしまうと、スパム発信元の書き込みを勝手に拡散してしまうというタイプのものだった。

 では、今回の事例はどのような事情で起き、いかなる問題をはらんでいるのか? セキュリティの分野に造詣が深いITジャーナリストの三上洋氏にきいた。

スパムの正体はリスト型攻撃による「乗っ取り」
犯人は海外の詐欺業者!?

 「スパム発信元の書き込みを拡散するのではなく、ユーザーのアカウントそのものが発信元になってしまう。これはつまり、アカウントが乗っ取られたということです。

 今年に入ってから、1月の下旬頃まで特に多く見られましたが、書き込み内容自体も、あたかも一般的なユーザーが書いたようなものを装っています。日本語は、あまり得意ではないようですが。

 リスト型攻撃(外部のサイトから流出したり、業者から購入したIDとパスワードをリスト化し、連続的にログインを試みるハッキング方法)によって乗っ取ったアカウントを使って、一般ユーザーのふりをしている業者がいると見るのが妥当でしょう」

「リスト型攻撃でSNSのアカウントを乗っ取り、スパム発信元に仕立て上げているのです」(ITジャーナリストの三上洋氏)

悪質な「決済はクレジットのみ」

 「じゃあ、乗っ取られたアカウントが拡散しているサイトにアクセスしてみると、どうなるのか? 実際に被害にあった人に話をきいたところ、どうやら今回の騒動は詐欺グループによるものだということがわかりました。

 まずリンク先のサイトは、海外の人気ブーツメーカーやサングラスメーカーの製品が安価で販売されている通販サイトです。実際に商品を購入してしまった人によると、明らかに偽物とわかる商品が届いたそうです。何も届かない場合もあると思いますよ。

 このサイトの悪質なところは、決済方法をクレジットカードのみに絞っているところなんです。

 振り込みだと、振り込み先の情報が分かりますから、会社の口座でなく個人の口座だったり、あるいは外国人の名前だったりすると、『おや?』と思いますよね。クレジット決済だと最終的にどんな口座に振り込まれるのか分かりませんから、何も疑わずに決済してしまう人がいるんです。

 以上の点から考えて今回の事例は、偽ブランドを販売している海外のグループが、個人ユーザーのアカウントを乗っ取って、詐欺を働いているとみることができます」

決済方法をクレジットカードのみに絞っている

パスワードをサービスごとに変えるのは原則
2段階認証の設定もマスト!

 今回のような乗っ取りの被害に遭わないために、ユーザーはどうするべきなのか? 三上氏はこう語る。

 「大元をたどればIDとパスワードの流出、それによるリスト型攻撃が原因ですから、『パスワードの使い回しはやめましょう』としか言えません。

 大量のサービスのIDとパスワードをすべて違うものにして、すべて記憶するのは今や無理と言っても過言ではありませんので、もう、『パスワードは覚えるものでなく、サービスごとに違うものにして、リストで管理するもの』と考えたほうがいいでしょう。多くのウェブサービスなどで導入されている『2段階認証』を設定することも重要ですね」

 一方で三上氏は、ほとんどのウェブサービスが利用している「IDとパスワード」について、こうも指摘している。

 「少し大きな話になってしまいますが、セキュリティの面から考えて、もう『IDとパスワードを使ってウェブサービスにログインする』という方法そのものに限界がきているような気がするんですよね。リスト型攻撃を仕掛けられて当たってしまえば、一発で乗っ取られてしまいますから。

 新たな主流が生体認証のようなものか、トークンを使ったものか、あるいはもっとスマートな2段階認証なのかは置いておき、そろそろ『IDとパスワード』に変わる何かが台頭してきてもいいと思いますね」

カテゴリートップへ

この連載の記事