makaran宝箱

時事ネタ・法律・エンタメなどなど、様々な話題を分かりやすく&面白く味付けしてお届け!

使い回しは、一撃必殺

不正アクセス

ネットが当たり前になった昨今、よく耳にする言葉です。

要は「ネットでの不法侵入」とでも言いましょうか。正当な権限を持たない者が、何らかの手段で防御壁を破り、システムの中に侵入する事です。

 

不正アクセスによる被害は、「ページの改ざん」等の愉快犯レベルから、「個人情報の流出」「大量の仮想通貨盗難」といった深刻なものまで様々。

被害者も、個人から国家組織まで大小様々。

 

不正アクセスは、「自分は被害に遭わない!…とは、誰も断言できない」という怖い話。いつでも・どこでも・誰にでも起こり得るもの。

今日もまた、新たな被害情報が伝えられています。

www.itmedia.co.jp(2019/5/14)

ファーストリテイリングと傘下のユニクロジーユー(GU)は5月13日、ユニクロジーユーの公式オンラインストアがリスト型アカウントハッキング攻撃を受け、約46万件のIDに不正ログインされたと発表した。不正ログインを受けたユーザーの氏名や住所、電話番号などの個人情報が第三者に閲覧された可能性があるという。対象のIDのパスワードを同日中に無効化し、ユーザーにパスワード変更を依頼している。

 

今回の話は、あの有名衣料品店ユニクロ等に関わるもの。

オンラインストアが攻撃を受け、会員情報が漏れたかも知れない…とのこと。

その数、約46万アカウント。

 

f:id:tenamaka26:20190514211921j:plain

(イメージ画像 https://www.pakutaso.com/20160726187post-8310.html

 

不正アクセスにより、漏れた可能性がある情報」は、

・氏名

・性別

・生年月日

・住所

・電話番号

・メールアドレス

・購入履歴

・体のサイズ

・クレジットカード情報の一部

等々。

 

攻撃が発覚した後、被害企業サイドが対策を講じています。

不正アクセス元の遮断、監視強化、被害者への通知、警察へ届出、その他諸々。

プレスリリースを見るに、具体的被害は報告されていない模様です。

 

www.fastretailing.com(2019/5/14閲覧)

 

---------------------------------------

 

今回の不正アクセスは、「リスト型攻撃」「リスト型アカウントハッキング」と呼ばれる手法で実行されたもの。

これは、「他のサイトから盗ってきた情報を使って、アクセスを試みる」という攻撃方法です。

 

ここで疑問が。

「他サイトから盗んだ情報って、別会社の情報でしょ? 別会社の情報を使って、なぜ不正アクセスが成功するのか?」

こう思った方がいらっしゃれば、その疑問はごもっとも。

会社や組織毎に管理方法が違い、扱う情報も違います。使っている機械も違えば、セキュリティレベルも千差万別のハズ。

しかし、実際には「他から盗んだ情報を使って、別の所に忍び込む」という事件が起こっています。なぜでしょう?

 

実は…。

これには、ハッキリとした理由があります。

 

ネット社会の現在。ひとりの人間が・あちこちのサイトに登録し・それぞれのサイトに個人情報を入力する …という事は、ごくありふれた光景になりました。

登録サイトは、フェイスブックツイッター等の「趣味のサイト」は勿論、ネットバンキングや通信販売サイトなどの「お金にまつわるもの」まで幅広い。

 

どの様なサイトでもそうですが、初回登録時には必ず「登録名(ID)」と「パスワード」両方を決める必要があります。

初回に登録した名前とパスワードを使って、2回目以降のアクセス時に本人確認をするわけです。名前とパスが一致しないと、「登録した本人では無い」と判断され、サイト側がアクセスを拒否。不正利用を防止するという仕組みになっています。

こういった仕組みは、至極普通のもの。金庫に鍵をかけるのと同じで、防犯上必要な措置です。

 

ところが、この防犯対策のパワーを、著しく低下させる状況があります。

それは「あるサイトで使っているIDやパスを、さらに別のサイトでも使い回すこと」です。

言い換えれば、「たくさんの金庫の鍵が、全部同じ種類」「合鍵を1本盗まれたが最後、全ての金庫が開いてしまう」という状況。

 

登録IDやパスワードは、各サイト毎に違うものにする。それが理想形です。

しかし、登録サイトが複数ある場合、「考えたり覚えたりする事が面倒だ」と思う人がいます。そういう人が、「IDとパスを一つ考えた後、それを使い回す」という行為に出がち。

その結果、あちこちに侵入される羽目になります。

 

---------------------------------------

 

「リスト型攻撃」の被害を防ぐ為には、サイト毎にIDやパスワードを変える事が理想。これは先述の通り。その情報管理をしなければなりません。大変でも、避けて通れない道。

管理の方法は様々です。

 

「各サイトの情報を、紙に書いて管理する」というアナログ手法を採る方もいらっしゃいます。原始的ですが、紙はハッキングで盗めないので、防御力は強い。(紙そのものを盗まれたらアウトですけど)

 

そういった管理が面倒であれば、「パスワードマネージャー」という補助ソフト・アプリを使うのも手です。

「パスワードマネージャー」は、各サイトに登録した情報やパスワード等を、一括管理できるソフト・アプリです。

「破られにくいパスワードを考えてくれる」という機能を持つ種類もあります。

ソフトとしてではなく、「電子手帳」と似た感じのガジェットとして販売されている品もあります。

被害に遭う前に、利用を検討されてはいかがですか?

 

---------------------------------------

 

不正アクセスは、「自分の懐を痛める」だけで済まない場合があります。それは「なりすまし」です。

「乗っ取られたアカウントを、他の犯罪に使われて、濡れ衣を着せられる」という可能性もあり。

軽く見てはいけませんよ。しっかり管理しましょう。