相変わらず不正アクセスによる事件が続いていますが皆さんお元気ですか
このところ、外部からの進入による個人情報の流出騒ぎが相次いでおりまして、経緯や報道も含めて簡単にまとめてみました。
山本一郎です。山本太郎じゃないって言ってんだろ。
今年になってから不正アクセスによる個人情報流出事件が増加の一途を辿っていますが、今度は大手ISPのニフティが攻撃されました。
不正なログインの発生について(ニフティプレスリリース)
ニフティに不正ログイン攻撃、「@nifty 会員」2万人超の個人情報が閲覧被害(インターネットコム 2013/7/18)
ニフティに不正ログイン - 21,184件以上の会員情報が閲覧された可能性(マイナビニュース 2013/7/17)
ニフティのリリースによれば、「氏名」「住所」「電話番号」「生年月日」「性別」「秘密の質問と回答」「ご契約状況」「ご利用料金」「メールアドレス」等の情報が不正に閲覧された可能性があるということです。クレジットカード情報については「情報の一部を保護(マスキング)した状態」であったとしていますが、これだけの個人情報が悪意のある何者かに漏洩してしまったのはかなり残念な事態です。
今回の攻撃では「何らかの手段で入手されたIDとパスワードを用いて」不正ログインが行われた可能性が高いとされていますが、多くのユーザーがIDとパスワードを使い回しているとすれば、同じような手段で攻撃は繰り返されるでしょうし、今回のニフティから収集した個人情報がそうしたIDやパスワードと紐付けられてしまうことで、さらに攻撃の手口が拡大されてしまう懸念もあります。
さらにニフティに続いて、LINEが運営するNAVERのサービスでも不正アクセス事件が起こりました。こちらの流出データ件数は169万件とその数も著しく大きなものになっています。
NAVERに不正アクセス169万件のメアドとハッシュ化されたパスワード流出か(ITmedia 2013/7/19)
「NAVERまとめ」などに不正アクセス、169万件のID流出の可能性(INTERNET Watch 2013/7/19)
不正アクセスの原因については把握しているが、『模倣犯の可能性があるので公開を差し控える』(LINE広報部)という。INTERNET Watch模倣できる犯罪というのが気になるところです。まあ、何となく想像はつきますが。
さて、こうした不正アクセス攻撃はなにも国内サービスに限ったことではなく、世界的に増加傾向が見られます。また直近の報道では開発者を狙った事件もあるなど事態の深刻度は深まるばかりです。
Ubuntu Forumsに不正アクセス、全ユーザーのメールアドレス等が流出(スラッシュドット・ジャパン 2013/7/21)
Apple、デベロッパーセンターに不正侵入があった可能性を正式に認める(TechCrunch Japan 2013/7/22)
個々のアカウントが不正に利用されたという報告はまた本誌に届いていないが、侵入者が取得したデータをすでに悪用している可能性はある。デベロッパーセンターが木曜日にダウンして以来、デベロッパーからは未承諾のパスワードリセット要求を受けたという報告が多数に寄せられているからだ。Twitterをざっと見るだけでもさらに数十件見つかる。TechCrunch Japan開発者のアカウントが狙われるということは、各種アプリやさらにはOSレベルでのさらなる大きな不正アクセスを目論んだサイバー攻撃と考えて良いでしょう。
こうした不正アクセスのほとんどは、なんらかの形でパスワードを破られ進入されるという形での攻撃によるものと考えられますが、そのパスワードが漏洩する原因の一つとしてアプリ等の脆弱性が挙げられます。奇しくも、そうした一例が同じようなタイミングで報道されていました。普通にアプリを使っただけで、悪意のある何者かにパスワードを盗み取られる可能性があったというものです。
TumblrがiPhone/iPad版アプリをアップデート、パスワード盗聴の恐れ(@IT 2013/7/19)
また、現在の「パスワード」というセキュリティシステム自体がいかに脆弱なものであるかを論じたコラム記事もありました。6ページに渡る長文ですが、色々と示唆に富む内容であり一読の価値があると思います。
あなたのパスワード、バレてます(WIRED.jp 2013/7/13)
上記の記事で提案されているような新しいセキュリティシステムが登場するまでにはまだそれなりの時間が必要とされるでしょうが、ともかく、まずは安易なパスワードの使い回しを今すぐやめることだけでも防止できる被害はかなりあることと思われますので、皆さまもお気を付けください。
それにしても、同じようなパスワードの使い回しがその原因だった可能性も示唆された楽天ポイントの不正移行事件は、詳細が分かり次第で続報あるはずだったのですが、その後何も聞かなくなってしまいました。こちらもNAVERの件と同じように模倣犯の可能性があるから詳細の公開は見送りということなんでしょうか。
楽天ポイント、無断で他人に交換不正ログインか(朝日新聞 2013/7/11)
楽天ポイント消える…電子マネーへ不正移行?説明なくサービス終了(スポニチ 2013/7/10)
「楽天スーパーポイント」盗まれる被害相次ぐ、他人のEdyに不正移行(INTERNET Watch 2013/7/10)
ポイント不正移行の被害者数や被害額は調査中というが、詳細が分かり次第公表する。現時点では、楽天からIDやパスワードが流出した可能性はないとしており、他社サイトで流出したID・パスワードを楽天でも使い回しているユーザーが被害に遭ったとみている。INTERNET Watch今さらで事件発覚直後の各報道を見返してみても「被害の人数や金額は一切言えない」「警察に相談したかどうかはお話しできない」となっており、情報公開に対して消極的だった点なども含めてなんだかもやもやしたものを感じないでもありません。