時事セキュリティが5分でわかる 第14回
『IDとパスワードでログイン』という方法そのものに限界がきている?
SNS乗っ取りスパム、犯人は海外の詐欺業者だった!?
2015年02月11日 18時00分更新
最近気になるセキュリティ事件のあらましをざっくり解説! 注目点とユーザーレベルでの対策をお伝えします。連載一覧はこちら。
ただ拡散しているのではないらしい!?
今年に入ってから、大手SNSでにわかに見られるようになった、怪し気なブランド品販売サイトのスパム。内容は海外人気ブランドの製品が「激安」あるいは「半額」で購入できるといったものだ。
これまでも、同SNSではこれに類似したスパムが報告されてきたが、今回の事例が従来と大きく違うのは、「一般ユーザーのアカウント」から発信されている点にある。
従来のスパムは基本的に「連携アプリ」の体裁をとっており、知らないうちにユーザーが連携認証をしてしまうと、スパム発信元の書き込みを勝手に拡散してしまうというタイプのものだった。
では、今回の事例はどのような事情で起き、いかなる問題をはらんでいるのか? セキュリティの分野に造詣が深いITジャーナリストの三上洋氏にきいた。
スパムの正体はリスト型攻撃による「乗っ取り」
犯人は海外の詐欺業者!?
「スパム発信元の書き込みを拡散するのではなく、ユーザーのアカウントそのものが発信元になってしまう。これはつまり、アカウントが乗っ取られたということです。
今年に入ってから、1月の下旬頃まで特に多く見られましたが、書き込み内容自体も、あたかも一般的なユーザーが書いたようなものを装っています。日本語は、あまり得意ではないようですが。
リスト型攻撃(外部のサイトから流出したり、業者から購入したIDとパスワードをリスト化し、連続的にログインを試みるハッキング方法)によって乗っ取ったアカウントを使って、一般ユーザーのふりをしている業者がいると見るのが妥当でしょう」
悪質な「決済はクレジットのみ」
「じゃあ、乗っ取られたアカウントが拡散しているサイトにアクセスしてみると、どうなるのか? 実際に被害にあった人に話をきいたところ、どうやら今回の騒動は詐欺グループによるものだということがわかりました。
まずリンク先のサイトは、海外の人気ブーツメーカーやサングラスメーカーの製品が安価で販売されている通販サイトです。実際に商品を購入してしまった人によると、明らかに偽物とわかる商品が届いたそうです。何も届かない場合もあると思いますよ。
このサイトの悪質なところは、決済方法をクレジットカードのみに絞っているところなんです。
振り込みだと、振り込み先の情報が分かりますから、会社の口座でなく個人の口座だったり、あるいは外国人の名前だったりすると、『おや?』と思いますよね。クレジット決済だと最終的にどんな口座に振り込まれるのか分かりませんから、何も疑わずに決済してしまう人がいるんです。
以上の点から考えて今回の事例は、偽ブランドを販売している海外のグループが、個人ユーザーのアカウントを乗っ取って、詐欺を働いているとみることができます」
パスワードをサービスごとに変えるのは原則
2段階認証の設定もマスト!
今回のような乗っ取りの被害に遭わないために、ユーザーはどうするべきなのか? 三上氏はこう語る。
「大元をたどればIDとパスワードの流出、それによるリスト型攻撃が原因ですから、『パスワードの使い回しはやめましょう』としか言えません。
大量のサービスのIDとパスワードをすべて違うものにして、すべて記憶するのは今や無理と言っても過言ではありませんので、もう、『パスワードは覚えるものでなく、サービスごとに違うものにして、リストで管理するもの』と考えたほうがいいでしょう。多くのウェブサービスなどで導入されている『2段階認証』を設定することも重要ですね」
一方で三上氏は、ほとんどのウェブサービスが利用している「IDとパスワード」について、こうも指摘している。
「少し大きな話になってしまいますが、セキュリティの面から考えて、もう『IDとパスワードを使ってウェブサービスにログインする』という方法そのものに限界がきているような気がするんですよね。リスト型攻撃を仕掛けられて当たってしまえば、一発で乗っ取られてしまいますから。
新たな主流が生体認証のようなものか、トークンを使ったものか、あるいはもっとスマートな2段階認証なのかは置いておき、そろそろ『IDとパスワード』に変わる何かが台頭してきてもいいと思いますね」
この連載の記事
-
第22回
デジタル
パスワードの教訓、長澤まさみさんの盗まれたプライベート写真から何を得る? -
第21回
デジタル
ランサムウェアがビジネス化して、信用を重視しはじめてきた -
第20回
デジタル
使っちゃダメ! FPS向けチートツールが国内初の摘発事例に発展 -
第19回
デジタル
これぞ攻性防御!? 警視庁が国内初のボットネット無力化作戦決行! -
第18回
デジタル
史上最悪の振り込め詐欺被害額! 対策は両親宅に電話番号を貼り出せ!? -
第17回
デジタル
「年収1000万のイケメン」に注意!? 女性を狙う婚活サイト詐欺 -
第16回
デジタル
なぜ!? パスワードを変えても、SNS乗っ取りが止まらない -
第15回
デジタル
翻訳サービスの仕様で公官庁のメール文が見放題に!? -
第13回
デジタル
NASの設定ミスで、学校関係者の個人情報が丸見えに!? -
第12回
デジタル
2015年、気をつけたいセキュリティの脅威とは? - この連載の一覧へ