2019年6月にはヤマダとコジマに続きイオンのサイトが狙われ、パスワードリスト攻撃により不正アクセスにより大きな被害を出してしまいました。どうしたら防げるか?イオンの事故より、デジタル終活を志す私たちが学ぶべき教訓と対策をご説明します。
※2019/07/12 記事訂正のお知らせ
一部記述の中で「セブンペイ」と記載すべきところ「セブンペイメント」と誤記しておりました。両社は別会社でセブンペイント社は過去なんら事故は起こしておりません。お詫び申し上げると共に訂正させていただきます。
今度はイオンで発生し、被害を出してしまった「パスワードリスト攻撃」とは?
ヤマダは不正侵入、コジマとイオンはパスワードリスト攻撃を受けた
つい先日ヤマダとコジマという大手家電量販店のセキュリティー事故についてお知らせしました。また2019年7月4日にはセブンペイで5000万円もの被害となった大きな事故が発生しました。
令和を迎えて一ヶ月が過ぎる頃、大手家電量販店「ヤマダとコジマ」の大きなセキュリティー事故が報道されました。更に7月にはセブンペイでも大きな不正ログイン事件が発生しました。 身近な家電量販店やコンビニだからこそ、切実な問題として考えなければ[…]
ヤマダとセブンペイの事件では、システムの弱いところや、アプリの欠陥を突かれて侵入されて機密情報を奪われてしまいました。
コジマの事件は、それとは全く異なり「悪意の第三者が、入手した不正なIDとパスワードが記載されたリストを使って、顧客になりすまして不正アクセスし、一致したIDとパスワードで不正ログインに成功し顧客情報の一部をのぞき見た」ものです。
このような攻撃を「パスワードリスト攻撃」といいます。
コジマは未遂だったが、イオンでは2200万円もの被害
2019年6月13日、イオン銀行とイオンクレジットサービス株式会社から衝撃の発表がありました。
イオンのネットサービス「暮らしのマネーサイト」とスマホアプリ「イオンウォレット」で、パスワードリスト攻撃による「なりすまし不正ログイン」が発生してしまったのです。
コジマは不正ログインを迅速に発見したため、実害は生じませんでしたが、イオンでは数日間発見が遅れて、その間約2000名の顧客情報が悪用され、2200万円もの被害が出てしまいました。
2000名の顧客情報が悪用されたということは、つまり犯人が持っていた流出IDとパスワードのリストに、少なくとも2000件はイオンのサイトでそのまま使えるものがあったということです。
つまりこの2000件の持ち主は「パスワードの使い回しをしていたため、なりすまされてイオンで不正アクセスされ、不正ログインされてしまった」ということになりますね。
イオンの事故の詳細は?
犯人の具体的な手口
イオンの発表から推定できる、犯人が犯行を成功させた過程は以下のようなやり方であった思われます。
犯人は持ち主が登録していた携帯電話番号を書き換えることで不正使用がばれないようにして、持ち主がマイページに登録していたクレジットカードを使って決済アプリで不正な購入を繰り返しました。
- 闇マーケットでパスワードリストを入手
- イオンのカード会員向けサイトの「暮らしのマネーサイト」で、このリストを使って不正アクセスし、次々と不正ログインを試みる
- 不正ログインに成功した1917件の「会員マイページ」に侵入
- 「会員マイページ」で既に持ち主が登録している携帯電話の番号を犯人の番号に入れ替えてしまう
- 不正ログインに成功したIDとパスワードで「スマホ決済アプリ」の新規登録。登録すれば、決済はマイページに既に登録されていた持ち主のクレジットカードから引き落とされてしまう
- アプリ登録の時に本人確認のために送られたのメールは、すり替えられた犯人のメールアドレスに行ってしまい、持ち主は気がつかない。
- スマホ決済アプリを使って買い物など不正利用。→被害者708名、被害総額22,044,816円
ユーザーにはどのような被害があったか?
ユーザーはイオンのマイページに登録していたクレジットカードから見に覚えのない引き落としがあって初めて不正利用に気がついたと思われます。
決済アプリからの引き落としで不正侵入で発生した被害は、イオンの例のように被害が原因が明らかな場合は、最終的には責任のある企業側が補償します。
しかしユーザー側は一時的であっても支払いの義務が生じるだけでなく、一度でも不正に使われたクレジットカージは無効になってしまうため、再発行の手続や、場合によっては警察に被害届を出すなど、面倒な対応が求められてしまいます。
また不正使用されたとしても、イオンのように不正使用が特定できれば補償を受けることができますが、盗用に気がつかず、ユーザー側がの泣き寝入りになる事もあります。
パスワードリスト攻撃にあわないためにはどうしたら良いか?
ユーザー側は防ぎようがないパスワードリスト攻撃
ユーザーにとって、パスワードリスト攻撃は過去どこかのサイトで使っていたIDとパスワードがいつの間にか外部に流出して、勝手に使われてしまったわけで、ユーザー側には防ぎようがありません。
IDやパスワードの流出はあまりに多く、流出を止めることは難しいのが現実です。
毎日国内で発生している情報流出は以下のセキュリティー情報サイトに日ごとに掲載されています。毎日数件ずつ事故が発生しています。
この中にあなたのアカウント情報がたまたま含まれていなかったとしても、いつかは流出してしまう可能性は高いのです。
今回の事件を受けてイオンがユーザーに頼んだこと
イオンは今回の事故後、ユーザーへ以下のような対応を依頼しました。
【カード会員さまへのお願い】
不正ログインを防止するため、以下の点にご留意の上、ID・パスワードを変更いただきますようご協力をお願い申し上げます。他のサービスでご利用になっているID・パスワードを使用しない。
定期的にパスワードを変更し、過去に使用したものは極力使用しない。
第三者が容易に推測できるID・パスワードを使用しない。
■出展:インターネットサービス「暮らしのマネーサイト」での不正ログイン発生のお知らせおよびパスワード変更のお願いについて
1.「パスワードの使い回しをやめて」
2.「推測されるような安易なパスワードを使用しないで」
といういつものお願いとなります。しかし対策はこれしかないのです。
※なお、1と2.が実現できていれば「定期的なパスワードの変更」は必要ありません。
パスワードリスト攻撃にあわないため、ユーザー側ができることは
「パスワードの使い回し」をやめる
当サイトでも何度も繰り返していますが、対策はこれしかありません。
各サイト毎にパスワードを確実に変えておけば、流出して不正アクセスされたとしても他のサイトに被害が及ぶことはありません。
パスワードの使い回しはきっぱりとやめて、ひとつのサービスごとに独自の最低10桁以上できれば15桁程度の強いパスワードを使いましょう。
いろいろなところで目にする「パスワードは8文字(8桁)以上、時々変更しましょう」。これで本当に大丈夫なのか? 内外の最新研究を検証した衝撃の結果は「今では8文字パスワードは弱い!」しかし「強いパスワードを設定したら二度と変更の必要なし!」[…]
「パスワードの使い回し」をしないで済むアカウントの管理方法を実行する
人間の記憶力には限界がありますので、いくつもパスワードを覚えるのは不可能です。便利で安全なパスワードマネージャーの使用を検討しましょう!
パスワードに関する悩みだけでなく、大事な秘密情報の保管場所としても、デジタル終活のツールとしても利用できる「パスワードマネージャー」。まさにデジタル終活の必需品です。 デジタル遺品やデジタル遺産を守るためにも必須ツール、政府機関もすすめる[…]
自分のメールアドレスやパスワードが流出していないか調べて、対策しよう
以下のサイト「HIBP~Have I Been Pwned?」でIDに使われるメールアドレスや、自分が使っているパスワードが流出していないか調べることができます。
調べた結果流出が確認できたら、すぐに同じパスワードを使っているサイトだけは変更してしまいましょう!
HIBPはオーストラリアのセキュリティ専門家Troy Hunt氏により運営されている世界的に有名で信頼できるサイトです。
メールアドレスが流出していないか調べるサイトHIBP
Have I Been Pwned? 私のメールアドレス、やられていない?
パスワードが流出していないか調べるHIBP
上記サイトではパスワードについても流出していないか調べられます。
まとめ:
アカウントの安全こそデジタル終活の基本です
当サイトではデジタル終活を「身の回りのデジタル資産をデジタル遺品やデジタル遺産として整理し、安全にデジタルが使えるよう整備する。さらに万一の際に大切な人に確実に継承できるよう準備すること」と定義しています。
不完全なものは継承するべきはありません。
ご自身の死後、流出したアカウントが被害を生み出し、デジタル遺品の消失や悪用によってご家族に更なる悲しみをかけることも想定されます。
終活準備の前に、まず身の回りのデジタルの安全を確保しましょう。
だけで安全度は飛躍的に高まります。
毎日発生する事故を教訓に、ぜひご検討ください。
このブログの運営サービスが日経新聞で紹介されました
オンラインデジタル終活サービスDigital Keeperが独創的スタートアップとして日経に!
2019年12月11日付の日本経済新聞朝刊「東京・首都圏経済」面「Edgy企業」に”「情報の遺品」管理容易”と、Digital Keeperが掲載されました。
「Edgy企業」は毎回独自性の高いスタートアップ企業が取り上げられますが、当社Digital Keeperのシンプルで柔軟なスキームや「情報本体と鍵を分散して保存する多要素分散保管」が評価されました。
創立者の冨田の設立の経緯も詳しくご紹介いただいています。
日本経済新聞 電子版(有料会員限定)
https://www.nikkei.com/article/DGXMZO53111870Z01C19A2L83000/
30日間無料お試し中!
クラウド時代のデジタル終活サポートサービス
「Digital Keeper」とは?
「独創的で、これから必要なサービス!」と日経新聞やテレビでも取り上げられたDigital Keeperは、月々390円の会費で、お手軽にデシタルキーピングやデジタル終活が開始できる新しいオンラインサービスです。
Digital Keeperでまず「大切なスマホやパソコンのデジタル終活」を5分で実現しましょう。そして「タイムリーなデジタル安全情報」「アカウントの断捨離」など情報を受け取りながら「デジタルキーピング~デジタルの安全と安心」を進めましょう。もちろん「もしもの時!」は、しっかりと終活をサポートします。
詳細は下記バナーからどうぞ!(新しいウィンドウでご覧いただけます)。