ネットセキュリティ今どきのキホン

第1回

ID/パスワードが狙われる?! 「アカウント管理」のキホン

(2015/5/30 10:00)

 今やタブレット端末/スマホはもちろんのこと、自動車や洗濯機、メガネに時計と身の回りのあらゆるモノがネットに繋がるIoT(Internet of Things)時代となりました。こうした環境の変化を感じながらも、ネットを利用する際のセキュリティ意識は特に変わらないという方は多いのではないでしょうか? 便利で楽しい仕組みが開発されると、新たな仕組みを悪用するサイバー攻撃が出てくるのは、残念ながらネットの歴史における事実です。とはいえ、必要以上に心配する必要はありません。この連載では、皆さんがネットを使う上で知っておきたい今どきのネットの危険と、それらを避けるためのキホンを紹介します。

そもそも、アカウントって何? ID/パスワードとの関係を知ろう

 ネットを利用していると、「アカウント」という言葉をよく耳にします。なんとなく「アカウント」とは「IDとパスワードのセット」というイメージをお持ちの方も多いのではないでしょうか。

 実際の利用シーンでは「アカウント=ID/パスワード」という理解でも問題ないですが、本来「アカウント」とはネットだけに限らずさまざまなサービスなどを「利用する権利」のことです。サービスの利用開始時にアカウント登録を行うのは、そのサービスを利用する権利を得る行為です。例えば「銀行口座」は英語で「バンクアカウント」と言います。口座開設で銀行を利用する権利を得るのです。

 「アカウント=ユーザー」という理解をされている方もいるかもしれません。しかし、アカウントを持たなくても使えるサービスもあります。あるサービスを利用する人は全員ユーザーと言えますが、アカウントは全ユーザーが持つとは限りません。

 銀行口座の例を出しましたが、アカウントには金銭や個人情報など本人にとって重要な情報が結び付きます。他人に勝手に使われるわけにはいきません。そこで、アカウントの利用者を識別するための記号である「ID」と、ID利用者が本人であることを証明するためのカギである「パスワード」が、アカウントを識別する情報として重要な役割を果たします。

 普段、銀行の口座番号や暗証番号といったアカウント情報の管理には注意していても、はたしてネット利用時のアカウント識別情報であるID/パスワードの管理はどうでしょうか?

知らないところでID/パスワードが漏れる?

 SNSやネットショッピングのアカウントなど、今やネットのサービスも個人情報や金銭に直結する情報と強く結び付いています。面倒だから、覚えられないからという理由で、ID/パスワードを安易に定番の組み合わせで使っている方はいないですか? トレンドマイクロが昨年5月に行った調査(http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20140609010140.html)では、実に90%以上もの人が複数のサービスで同じパスワードを使い回していました。

 サイバー犯罪者は、利用者の「複数のパスワードを覚えるのは面倒」という心理を突き、アカウントの乗っ取りを行っています。ID/パスワードが使い回されていることを前提に、ネット上で運営されているサービスを攻撃して不正に得たID/パスワードの一覧(リスト)を使って、他のサービスへアクセスを試みることで、サービスのアカウントを乗っ取る攻撃「アカウントリスト攻撃」が行われているのです。アカウントが乗っ取られた結果、不正送金の被害に遭ったり、あなたの友人や家族に電子マネーの購入などをサイバー犯罪者が求めるケースも想定されます。

 つまり、ID/パスワードを使いまわしていることで、一ヶ所がサイバー攻撃を受けてアカウント情報のリストを盗まれた結果、他のサービスでもそのリストを悪用した不正ログインが行われ、被害が拡大してしまうのです。実際、2013年頃からこのアカウントリスト攻撃によるものと思われる大規模な不正ログイン被害が各所で報告されています。

「アカウントリスト攻撃」の仕組み

アカウント管理のキホンは3つ

 ネット上であなたの大切な個人情報や金銭にまつわる情報が盗まれたり、悪用されたりしないよう大切なアカウントをしっかり管理しましょう。アカウント管理のキホンは次の3つです。

1)パスワードを使い回さない
何はともあれ、パスワードの使い回しは今すぐ止めましょう。

2)重要なアカウントの管理は特に慎重に
SNSやネットバンキングなど、個人情報や金銭に直結するアカウントの管理には特に敏感になりましょう。いつもと異なる端末からのログインを通知する機能や、複数の本人確認手段をとる多段階認証など、各サービスが提供するセキュリティ機能を活用することも有効です。

3)パスワード管理ソフトの利用を検討
不便さから、パスワードの使い回しを止められない方もいるかもしれません。パスワード管理ソフトを利用すれば、サービスごとに異なるID/パスワードを設定し、なおかつサービス利用時には自動でログインが可能です。アカウント情報を預けることになるので、信頼できる企業が提供しているソフトを選択することも重要です。

 いつもより少しだけセキュリティの話題に敏感になることで、ネット上で危険や不快な思いをすることを避けられます。また、あなたの友人や家族を守ることにも繋がります。セキュリティの“キホン”を確認することで、安心してより楽しいネットライフを送りましょう。

森本 純

もりもと じゅん:トレンドマイクロ株式会社 マーケティング戦略部 コアテク・スレットマーケティング課 シニアスペシャリスト。インターネットを安全に楽しむためのセキュリティ情報サイト「is702」の企画・運営をはじめ、セキュリティエンジニアとしての実務経験をもとに大学生から企業ユーザーまで広くさまざまな立場の人への脅威啓発活動を担当。