知らぬ間に自分のIDとパスワードで犯行予告が書き込まれ、無実の罪で逮捕。
2012年に起きた「パソコン遠隔操作事件」では、4人の方が身に覚えのない容疑で逮捕されました。その後、事件は真犯人の自供で解決しましたが、これは決して過去の事件ではありません。
いつまた同じような事件が起きて、今度はあなたが容疑者にされてもおかしくないのです。
不正アクセスは過去最高 被害も拡大傾向
警察庁の発表によると、2014年の一年間で、他人のIDとパスワード(アカウント)を利用した不正なアクセスが3545件あったことがわかりました。統計を取り始めた2000年以降では最高の件数で、前年比20%アップという、ありがたくない右肩上がりです。
被害の内訳はインターネットバンキングによる不正送金が1944件とダントツの1位。2位は他人への成りすましで1009件となっています。
特に1位のインターネットバンキングによる被害は、前年比50%アップの急速な伸びとなっており被害金額も増加傾向。使い捨てパスワードによる対策がとられましたが、その後も新たな手口による被害が生じるイタチゴッコになっています。
2位の成りすましではオンラインゲームで他人のアイテムを不正に入手したり、掲示板へ誹謗中傷などを書き込む行為が増えています。成りすましは金銭的な被害だけではなく、名誉毀損で訴えられたり犯罪の容疑者にされる可能性もあり、家族も含めた被害を被る可能性があります。
では、犯人はどうやって他人のアカウントを入手しているのでしょうか?
アカウント入手の代表的な3つの手口
総当り攻撃
「総当り攻撃」とは、ひとまずIDを「japan2015」などと仮定しておき、パスワードに使われている文字のあらゆる組み合わせを試していく方法です。
「12345678」とか「abcdefgh」のような単純なパスワードはすぐに破られるので、「u8_62Gi5」のようにアルファベットと数字が混じった意味のない文字列にするのが理想的です。
辞書攻撃
パスワードに使われている文字列を探すということでは「総当り攻撃」と同じですが、「辞書攻撃」は単純な単語や、単語と数字の組み合わせなどのパターンを試していく方法です。
ありがちな例ですが「password」という、そのものズバリな単語を使っていたり、ちょっと工夫して「pass1234」にしても大差ありません。
こうした調べ方は人間がやるには手間がかかりすぎますが、パソコンを使えば自動的に割り出してくれます。また人間が作るパスワードにはパターンがあるため、人が見てわかりやすいパスワードほど危険と言えます。
アカウントリスト攻撃
最近では「総当り攻撃」や「辞書攻撃」に対抗して、一定の回数でログインに失敗するとアクセスをブロックするWebサイトが多くなりました。そのため、最近では「アカウントリスト攻撃」という手口が増えています。
「アカウントリスト攻撃」は「パスワードリスト攻撃」と呼ばれることもありますが、パソコンやスマートフォンをウイルスに感染させ、Webサイトのログインに使っているIDとパスワードを送信させます。
その方法としては、アプリケーションに見せかけたウイルスプログラムをダウンロードさせ、パソコンやスマートフォンに保存しているアカウントを抜き取ってしまいます。
特に急増しているのはスマートフォンでの被害です。例えばWebサイトを見ているときに「セキュリティ上の脅威が検出されました!」という警告が表示され、「問題を解決するには、ここをタップしてください。」と誘導します。慌てたユーザーがタップするとウイルスがインストールされてアカウントが犯人に送信されるという手口です。
この方法は実際に使われているアカウントを盗めるので、流出すると確実にログインされてしまいます。
80%以上がアカウントを使い回し
IDやパスワードはWebサイトにアクセスするための「鍵」です。現実の生活に例えると、自宅や職場など、ふだん自分がいる場所の鍵が盗まれてしまうことと同じです。知らないうちに自宅の合鍵が作られると現金や通帳が盗まれます。知らないうちに自分のIDで職場に忍び込まれたら横領や機密情報の持ち出しなど重大な犯罪の濡れ衣を着せられることになるでしょう。
今まで何気なく作ってきたアカウントですが、その管理をおろそかにすると、どんな被害をこうむるかしれません。ところが、あるアンケート調査によると、多くのインターネットユーザーは、あまりアカウントの管理に注意をしていないという結果が出ました。
指紋認証技術などを扱う「株式会社ディー・ディー・エス」が、20代~50代までのインターネットユーザー400人に対して、アカウント管理の方法を調べたアンケート調査によると、
- 記憶している(60.2%)
- 手帳やノートにメモ(39.8%)
- パソコンやスマートフォンにメモで保存(25.7)
- アカウント管理ソフトを使用(9.7%)
という結果が出ました。
60.2%の人が「記憶している」のには驚きです。
また「パソコンやスマートフォンにメモで保存」は4つの中では最悪の方法です。
同じアンケート調査では、以下のような結果も出ています。
- 所有しているアカウントの数は6つ以上と答えた人が最多(43.0%)
- アカウントを忘れたことがある(93.9%)
- アカウントを複数サイトやアプリで使いまわしている(79.9%)
60.2%の人がアカウントを「記憶している」いっぽうで、93.9%の人が「アカウントを忘れたことがある」。さらに43.0%の人が「所有しているアカウントの数は6つ以上」となっているのに、「アカウント管理ソフトを使用」しているのは、わずか9.7%しかいません。さらに79.9%が「アカウントを複数サイトやアプリで使いまわしている」ため、一度アカウントが流出してしまうと複数のサイトで被害が生じます。
まだ利用者が少ないアカウント管理ソフトですが、安全で簡単にIDとパスワードを管理するためには、そろそろ導入を考えるべきときです。
アカウント管理ソフトは国内外のものを含めていくつもありますが、セキュリティベンダーの製品であるもの、パソコンとモバイルでアカウントを共有できるもの、を選ぶといいでしょう。
私はトレンドマイクロ社の『パスワードマネージャー』を使用しています。有料ですが月額154円なので、まあいいかと。購入前に試したい場合は無料体験版もあります。ただ、すべてのWebサイトで自動ログインできるわけではなかったり、反応がちょっと遅いなど、使い勝手はもうひとつかもしれません。
この他にシマンテック社のセキュリティソフト『ノートン』シリーズを使用していれば、 『ノートン ID セーフ』が製品の機能として組み込まれていますし、『マカフィー リブセーフ』『マカフィー オールアクセス』にもパスワードマネージャーが含まれています。お使いのセキュリティソフトの機能を確認してみてください。
アカウントの流出を防ぐための防衛策
ここまで、不正アクセスによる被害の概要と主な手口、インターネットユーザーのアカウント管理の実態などを紹介してきました。最後はアカウントが流出してしまわないように、ユーザーが「最低限とるべき防衛策」を紹介します。
OSは常に最新にアップデートする
まず行うべきことは、OSの更新プログラムが配布されたら必ず適用しておくことです。
更新プログラムはOSの機能改善や、新たに発見された不具合を修正するプログラムが含まれています。面倒だからと言ってアップデートしないでいると、OSの不具合を狙ったウイルスに感染し、アカウントの流出や遠隔操作といった被害をこうむることになりかねません。
セキュリティソフトを使う
セキュリティソフトは入れて便利とか楽しいというアプリケーションではないので、お金を払って購入しようという気持ちにはなりにくいかもしれません。
でもセキュリティソフトを入れないでいるのは、家じゅうのドアや窓を開けっぱなしにしているのと同じ状態です。むしろ積極的に侵入させていることになります。どうせたいしたデータはないから大丈夫と思っていても、そのパソコンを踏み台にして犯行予告が書き込まれたら、今度はあなたが第2の「パソコン遠隔操作事件」の容疑者にされてしまいます。
また、パソコンを買ったときに入っていたセキュリティソフトが、お試し期限を過ぎたままということもあります。お試し期間が過ぎていると、新しいウイルスに対応できないので、そのまま使っていくとドンドン危険性が高くなります。
それでもセキュリティソフトにお金を出したくないというなら、『アバスト 無料アンチウイルス』や『Avira Antivirus』など、無料のセキュリティソフトでも信頼の高いものがいくつかあります。加えてマイクロソフトがWindowsのために無料で配布している『Microsoft Security Essentials』はシンプルな機能ですが動作も軽いので、最低限これを導入することをおすすめします。
信頼できないアプリをインストールしない
前述したように、便利そうに見えたり面白そうなアプリケーションの中には、ウイルスに感染させる目的のものもあります。以前はWindowsパソコンがこうした悪質なアプリケーションのメインターゲットでしたが、最近はスマートフォンやタブレット等のモバイル端末による被害が増えています。
モバイル向けでも、iPhoneやiPadのアプリは公式サイトの『App Store』で事前に審査されているので、完全ではないにしても安全性は高いといえます。
対してAndroid OSは公式サイト『Google play』でも不正アプリが多数登録されていたことがありましたし、個人のWebサイト等で配布されているものまで含めると「無法地帯」と言っても過言ではありません。これらの中にはWebサイトのアカウントやアドレスを抜き取る目的のアプリケーションもあるので、安易に不必要なアプリをダウンロードするのは危険です。アプリをダウンロードするときは配布元が信頼できるか、ユーザーの評判はどうかなどを事前に確認するようにしてください。
またセキュリティソフトには怪しいアプリをインストールしようとすると警告してくれる製品もあるので、スマートフォンやタブレットにも必ずセキュリティソフトの導入を行ってください。
パスワードは8文字以上で複雑に
「総当り攻撃」や「辞書攻撃」に対抗するには、わかりやすいパスワードの使用を避け、できるだけ意味のない数字やアルファベットなどを組み合わせることが有効です。また文字数が多くなるほど解読されにくいので、最低でも8文字は使うようにしてください。
となると毎回パスワードを考えるだけでも一苦労ですので、パスワード用の複雑な文字列を生成する機能があるアカウント管理ソフトの利用が簡単で便利です。
公衆無線LANの使用に気をつける
最後は意外な盲点かもしれませんが、街じゅうにあるWi-Fiスポットも要注意です。
無料で使えるWi-Fiスポットは暗号化されていないところも多く、通信内容が漏れてしまうことがあります。URL(Webサイトのアドレス)が「https://」となっていれば通信は暗号化されていますが、できればWi-Fiスポットではアカウントの入力が必要なWebサイトへのアクセスは控えたほうがいいでしょう。
通信が暗号化されているかどうかは、スマートフォンの場合はWi-Fiの設定画面に鍵マークがあれば大丈夫です。さらに暗号化の種類が「WPA」、または、より強力な「WPA2」であれば安心です。
スマートフォンは自動的に近いWi-Fiに接続する設定になっていることがあり、それを利用して悪意のあるWi-Fiに接続させる手口もあります。例えば空港や駅のような人の多いところにセキュリティの甘いアクセスポイントを持ち込み、そこに接続してきた人の通信を傍受する手口もあります。
Wi-Fiスポットはいつでも誰でもインターネットが使えて便利ですが、誰でも利用できるということは、悪人にとっては天国のような場所です。便利さの裏にはリスクもある、ということを忘れないでください。