fbpx

どうやってデジタル資産(デジタル遺産・デジタル遺品)を守るか、セブンペイ、大手家電量販店の事故から考える

令和を迎えて一ヶ月が過ぎる頃、大手家電量販店「ヤマダとコジマ」の大きなセキュリティー事故が報道されました。更に7月にはセブンペイでも大きな不正ログイン事件が発生しました。
身近な家電量販店やコンビニだからこそ、切実な問題として考えなければなりませんが、3つの事件はかなり内容が異なります。感情的に心配するのではなく、両社の事故の原因を知り、正しくアカウントに対する対策を進めることが、デジタル終活にとって大切であり、あなたのデジタル資産(デジタル遺産とデジタル遺品)を守ることにつながります。

セキュリティー事故の謝罪会見イメージ

目次

相次いだ大手家電量販店からの情報流出

2019年5月末、2つの大手家電量販店が相次いでセキュリティー事故発生を発表しました

ヤマダ電機とコジマという日本中に展開している大手家電量販店から、相次いでセキュリティー事故の報道がされました。
身近な店なので驚くと共に、不安になった方も多いと思います。しかし両者の事故の内容はかなり異なります

当サイトの提唱する「デジタル終活~身の回りのデジタル資産を整理し、安全にデジタルが使えるよう整備する。さらに万一の際に大切な人に確実に継承できるよう準備すること
の観点から、両社の事故の原因とユーザーが学ぶべきことを整理してご説明します。

 

ヤマダ電機の大規模クレジットカード情報流出事件

ヤマダ電機からの発表

ヤマダ電機よりは5月29日に下記の報道が発表されました。

マスコミ各社やITセキュリティー関連のメディアからは「事故を把握するのが遅すぎる」「発表も遅い」と厳しい指摘がされています。

またヤマダ電機の発表があいまいなため、誤ったマスコミ報道が行われ、無用な混乱が広がったとの指摘もありました。

ヤマダ電機のクレジットカード情報流出の原因は?

ヤマダの以下の報道発表を見れば、明らかです。

・個人情報流出状況
(1)原因
第三者によって「ヤマダウエブコム・ヤマダモール」に不正アクセスされ、ペイメントアプリケーションの改ざんが行われたため
(2)個人情報流出の可能性があるお客様
2019年3月18日~2019年4月26日の期間中に「ヤマダウエブコム・ヤマダモール」において新規クレジットカード登録、及びクレジットカード登録の変更をされたお客様最大37,832名で、流出した可能性のある情報は以下のとおりです。
【流出した可能性のある情報】
・クレジットカード番号
・有効期限
・セキュリティコード

各報道と併せて、わかりやすく経緯を表すと

・外部の悪意のハッカーが密かに、ヤマダ電気のECサイトのシステム内に侵入(経路は不明)。
・クレジットカード決済のシステムに細工をして、入力されたクレジットカード情報がハッカーの元にも届くように改ざんした
・3/18から4/26の間に「ヤマダウエブコム・ヤマダモール」でクレジッカードを使ったり、変更したりした顧客のデータがそっくりハッカーに送られて盗まれた。
・ハッカーは入手したカード情報をさっそく不正使用した

という最悪のケースの流出事故です。

 

コジマ電気の不正アクセス事件

コジマの発表内容

5月23日コジマは、同社が運営するコジマネットに不正アクセスが発生したと発表しました。

コジマの事故の原因は

コジマの場合は、ヤマダのようにシステムの弱い部分を侵入されたのではなく、悪意の第三者がどこかで入手した不正なIDとパスワードのリストを使って、顧客になりすまして不正アクセスし、不正ログインを試み、ログインが成功した顧客の情報をのぞき見たということです。このような攻撃方法を「パスワードリスト攻撃」といいます。

ヤマダの事件は不正に侵入されないようにシステムを厳重に構築することで防ぐことができますが、パスワードリスト攻撃はユーザーと同様にログインするのですから、防ぎようがありません。
パスワードリスト攻撃は防ぐというより、不正と思われるログインを検知して排除することが大切となりますが、コジマはその検知システムが上手く作動していたようです。
発見も早く、クレジットカードのような重要情報は見られていませんでした

該当の顧客にとって「個人の住所や氏名が見られてしまった」という気持ち悪さは残りますが、それ以上の被害はなく、パスワードの変更をするだけで済みました。

セブンペイ事件の原因は

セブンペイの事件の原因はまだはっきりしていませんが、報道からは「アプリの本人認証の仕組みの弱さをつかれて不正ログインされた」と推測されています。
 ・メールアドレスとパスワード入力だけで決済ができる。二段階認証を導入していない。
 ・パスワードを忘れた時の手続に弱さがあった
等が推定されています

ヤマダとコジマの事故は、原因も深刻さも大きく異なります

ヤマダはいつの間にか攻撃されて、システム内部まで侵入を許してしまった。発見も遅かった。

ヤマダはシステムに何らかの穴があったか、メールなどを通して社員の人為的ミスにつけ込んで、PC経由で侵入したのか、原因はまだわかりません。
しかし悪意のハッカーがシステム内部まで侵入し、最も重要な決済の部分に細工をして、情報を密かに抜き取るという最悪のケースです。

残念ながら現在のシステムは100% 完全にシステムへの侵入を防ぐことはできないのが現状です。しかし仮に侵入されたとしても、被害が大きくならないように、すぐに検知したり、重要な情報を扱うシステムの区画には入れないようにするなどの対策を講じてることが当たり前となっています。
今回ヤマダの場合は、それが機能せず、また検知するにも時間がかかり発表も遅く、国内最大手の家電量販店としてはお粗末な事例と言わざる得ません。

コジマは攻撃されたが、それ以上の被害を防いだ

ヤマダに比べてコジマのケースは、コジマ側には大きな問題ありません。強いて言うと「不正アクセスされもログインできない、もっとユーザーを守る強固な方法を講じておくべきだった」ということでしょう。

今回被害を受けたユーザーはどこかのサイトと同じIDやパスワードをコジマでも使い回していたのでしょう。どこかのサイトで流出したIDとパスワードがリストになっていて、悪意のハッカーが総当たりでコジマサイトに不正アクセスし不正ログインを試みて、たまたま成功したということです。

コジマ側は早期に発見して然るべき対応をしましたので、問題があるのは、むしろパスワードを使い回したユーザー側ということになります。

 

今回のケースを受けて、ユーザーはどう対応すれば良いか?

ヤマダのケースは対策しようがない

ヤマダの場合はユーザー側ができる対策は、「信用できない」「事件を起こしそうなサイトやサービスは使わない」ことぐらいしかありません

ただクレジットカードは不正使用が明らかな場合は、ユーザー側は免責になり、不正使用分は後で補償されます。ただしこれもユーザー側が不正使用に気がついて、所定の期間内にクレジッカード会社に申し出ない限り、時効となり負担が生じてしまいます。

ユーザーとしては、カードの利用状況をきちんと調べて、不正使用がないか調べる習慣が必要です。

コジマのケースは「パスワードの使い回しをしていなければ安心」

パスワードの使い回しさえしていなかったらこのような不正利用をされることはありません。

さらにコジマのサイトがIDとパスワードによる認証だけでなく、二段階認証も導入していたら、そもそも不正ログインは成功せず事故は起こらなかったはずです。

セブンペイはケースはやはり「二段階認証」が鍵か?二段階認証を採用していないサービスは利用しない

正式な原因が発表前ですので推定ですが、少なくともセブンペイが他の決済サービスと同等の二段階認証を採用していれば、このような事件は起きなかったはずです。ユーザーとしては、決済や資産管理、個人情報を預けると言った重要なサービスでは「二段階認証を採用していないサービスは利用しない」というのが賢明な選択方法でしょう。

関連記事

アカウントの二段階認証を設定さえしておけば、万一パスワードが流出しても不正ログインされる心配ありません。デジタル遺品やデジタル遺産のアカウントも確実に安全が守られます。しかしどうしてパスワードが漏えいしても平気なのか?その理由をわかりやすく[…]

改めてパスワードの使い回しはやめましょう

コジマのお客様へのお願いからわかること

コジマの発表には以下の文面があります。対策としてはこれにつきます。ただし正しいパスワードを設定していれば、定期的な変更は必要ありません

お客様におかれましては、会員ID・パスワードの管理の重要性をご理解賜り、次のことを実施してくださいます様お願い申し上げます。
①他のWebサイト等と同一の会員ID・パスワードを使用しない。
②コジマネットのパスワードを定期的に変更する。

コジマには二段階認証の導入もお願いしたいところです。

パスワードの使い回しは、「自宅の鍵のコピーをばらまいている」のと同じこと

当サイトで何とも申し上げていることですが、パスワードの流出事故は止めることはできません。

関連記事

誰もがついやっている「同じパスワードの使い回し」。どうしてパスワードの使い回してはいけないのか? 「隠れた恐ろしさ」を具体的な事件の例と共にご説明します。デジタル終活を契機にデジタル遺品やデジタル遺産の消失にもつながりかねない「パスワードの[…]

たまたま流出した中に使い回しているIDパスワードがあったら、他のサイトで容易に不正ログインに利用されてしまいます。コジマの例では不正ログインが発見されましたが、不正使用のまま使われているケースも多いはずです。

パスワードの使い回しはきっぱりとやめて、ひとつのサービス毎に独自の最低10桁以上できれば15桁程度の強いパスワードを使いましょう。

 

パスワードマネージャーを使いましょう

使い回しのパスワードをやめて、個別に強いパスワードをつけると、普通の人には記憶力で使うことは不可能です。
パスワードマネージャーの使用を強くお奨めします

関連記事

パスワードに関する悩みだけでなく、大事な秘密情報の保管場所としても、デジタル終活のツールとしても利用できる「パスワードマネージャー」。まさにデジタル終活の必需品です。 デジタル遺品やデジタル遺産を守るためにも必須ツール、政府機関もすすめる[…]

 

二段階認証があるサイトは必ず使いましょう。

これも何度も申し上げています。二段階認証さえしておけば、不正アクセスされてもログインできず悪用を完全に防げます。セブペイは二段階認証を取り入れていれば、これだけの被害が発生することはなかったでしょう。

またどうしても不正使用が心配な方は二段階認証を採用していないECサイトの使用は控えましょう

関連記事

身に覚えがない「dアカウントでログインした方に送信しています」とか「セキュリティコード」などのログイン通知メッセージを受け取った方はいませんか? 2018年の秋。愚かにもdアカウントのパスワードを使い回していたデジタルキーパー株式会社の代[…]

 

まとめ:
セキュリティー事故は発生することを前提として、ユーザー側ができることを対策しておきましょう

ヤマダのような巧みなハッカーによる侵入や、システムの内部の人によるミスや人為的な漏えいなど、パスワードの流出をなくすことは実質的に不可能です。
しかし対応さえしておけば、被害を受けることはありません。

・パスワードの使い回しをやめて、長くて強いパスワードを使う。
・パスワードマネージャーを使う
・二段階認証を設定して不正ログインされないようにする。

を実行し、デジタル遺品やデジタル遺産を守りましょう。

関連記事

当サイトは「デジタル終活」とはお年寄りの終活とは異なり、「日頃からIDやパスワードなどデジタル資産を管理し、不要な物は断捨離し、安全に使えるようにして継承も準備する」ような一連の作業と考えています。 これが完成すれば、自身も安心にデジタル[…]

デジタル終活を終えて幸せそうなシニアカップル

 

当社の「デジタル終活サポートサービス~Digital Keeper」を、ぜひお試し下さい!

当社代表の冨田の長年の構想を元に、2019年9月11日にスタートした「オンラインデジタル終活サービスDigital Keeper」は、わずか390円の会費で、どなたでもお手軽にデシタルキーピングやデジタル終活が実行できる、新しいコンセプトのオンラインサービスです。

Digital Keeperにご入会いただきますと、当ブログにあるような「デジタルの安全にタイムリーに役に立つ情報」「デジタルキーピングの方法」などをメールマガジンでお届けしながら、会員にまさかの事態が起きたときには、しっかりと会員のデジタル終活をサポートさせていただきます。

※Digital Keeperは、多要素分散保管の考え方に基づき、アカウントやデジタル資産の本体はお客様側に保存いただき、管理情報(保管場所や鍵となるパスワードなどの情報)だけをお預かりするサービスですので、機密情報も安全に預けることができます。

今なら1ヶ月無料で全機能を自由にお使いいただけます。この機会にぜひお試し下さい。(詳細は下記バナーをクリックすると新しいウィンドウでご覧いただけます)。

Digital Keeperバナー

第3章1「デジタル資産を「デジタル遺産」と「デジタル遺品」に分類しよう」に続く

プッシュ通知を
>

「このブログとデジタルキーパー社」
このブログはデジタルキーパー株式会社が「デジタルの安全な使用と継承~デジタルキーピング」をテーマに、「スマホ、PCの安全な使用方」から「正しいパスワード」「不正アクセスの防ぎ方」「デジタル遺品管理などデジタル終活の方法」まで、様々なノウハウをご紹介するブログです。
さらに当社は2019年夏からは「コーヒー1杯分の代金でデジタル終活支援サービス~Digital Keeper」をリリースしました。
誰にも必要なデジタルキービングをサポートします。

CTR IMG