会員制サイトのログインID、パスワードについての話
昨年(2014年)、ニコニコ動画やmixi等のネットサービスを狙った「リスト型攻撃」による不正アクセス事件が相次いで発生しました。
「リスト型攻撃」とは、会員制サイトの利用者がパスワードを複数のサイトで使い回していることを悪用した不正アクセス手法です。不正に入手した、あるWebサイトの「ID・パスワード」リストの中に、同じID・パスワードを使い回している利用者がいれば、本人になりすまして他のWebサイトでログインすることができてしまいます。
Webサイト側に落ち度がなくても、正常な手順でログインされてしまうため、この攻撃は防ぎようがありません。
この「リスト型攻撃」をテーマにした日経コンピュータ(2015.1.22号)の特集記事「Webサイト非常事態宣言」を読みました。
本特集記事は、企業側で対策を行うにあたって、リスト型攻撃の正体と現実的な解決策を探ったものですが、ここでは利用者の立場として感じたことを書いておきます。
リスト型攻撃のもう一つの目的が怖い
直接的な目的は、個人情報の売却やポイントの不正利用・換金だと思いますが、もう一つの目的があることを知りました。それは、個人情報の名寄せです。
最終的に「あらゆる個人情報を網羅したリスト」の作成を狙っています。
どういうことかというと、住所を得るために宅配便事業者のWebサイト、電話番号を得るために携帯電話事業者のWebサイト、というふうに多様な業種のWebサイトから、まず個人情報の入ったリストを入手します。
これらのリストを用いて、メールアドレス等をキーに名寄せすることで、IDとパスワードだけではなく、住所、年齢、職業、電話番号、勤務先、家族構成など、あらゆる個人情報を網羅したリストができあがります。
こんなものがあれば、詐欺への悪用も簡単ですし、金銭的価値も相当高いでしょう。怖いですね。
利用者ができる唯一の対策とは
これはやはり、複数のサイトでパスワードを使い回さないことに尽きます。
しかし最近は、ショッピングサイトだけでなく、クラウドサービスやソーシャル・ネットワークの普及に伴って、覚えるID・パスワードの数が急激に増えてきました。
個人的にどうしているかと言うと、サイトごとに異なるパスワードを設定するため、これまでパスワードの作り方を工夫していましたが、いよいよ限界が近づいてきたので、定番のパスワード管理アプリ「1password」を昨年購入しました。
評判どおり、これはなかなか使い勝手がよく、手放せなくなっています。
ちなみに、現在「1password」に登録しているログインアカウントの数を調べてみたら、なんと46個もありました。
対策しようにも、どうしようもないこと
リスト攻撃の本当の怖さとパスワードを使いまわさないことの重要性を上に書きましたが、ちょっとした大変なことに気がつきました。
それは、過去に個人情報を登録したけど今は利用しなくなった会員制サイトがあるはずですが、全く覚えていないことです。
「長期間使われていませんよ」と教えてくれるサイトとか「○年間ログインがない場合は自動的にアカウントを削除」するルールのサイトであれば心配ないんですが、何の音沙汰もない管理のいいかげんなサイトが怖いです。
しかし、これはどうしようもありませんので、あきらめることとします。
おわりに
大人であれば、上に書いたようなリスクがあることや、ニュースになっている情報漏洩事件を知っていて、何らかの対策を考えているかもしれませんが、さまざまなSNSサービスを使ってる中高生がちょっと心配です。
ではまた…
【関連エントリー】