原因はなにか?どうしたら防げるか?ニンテンドーの事件より、学ぶべき教訓と対策をご説明します。
ニンテンドーアカウントに被害を与えた「パスワードリスト攻撃」とは?
NNIDへの不正ログインによってニンテンドーアカウントから個人情報が流出
かつてニンテンドー3DSシリーズやWii Uで使用されていた古い、「NNID(=ニンテンドーネットワークID)」に大規模な不正ログインが発生し、結果として紐付いていた「ニンテンドーアカウント」に不正ログインを許すことになってしまい、16万人分もの「ニックネーム、生年月日、国/地域、メールアドレス」が流出したのです。
またユーザーからは「勝手に課金された」「課金で手に入れたアイテムを奪われた」などの苦情も多数寄せられています。
対策として、任天堂は、NNID経由で「ニンテンドーアカウント」にログインする機能を停止し、「パスワードの変更」と「ニンテンドーアカウントに二段階認証を設定するよう」呼びかけをはじめました。
さらに9月6日に「盗まれた可能性のあるNNIDが新たに14万件発見されて、総数は30万件」「不正に使われたのは1%未満であり、すでに返金が行われた」ことが追加発表されました。
原因はパスワードリスト攻撃か?
不正に入手されたユーザーの氏名、住所、生年月日、口座、暗証番号、パスワードなどをセットにしてリスト化した情報は「Fullz」(フルズ)と呼ばれて、ブラックマーケットで盛んに流通しています。
ハッカー達はパスワードリスト(Fullz)の更新は「自分のテクニックを誇示すると共に大きな収益を生む源泉なので」リストの精度は日々向上しています。
同様の事例は、過去多数発生。2019年にはイオンでは2200万円もの被害
パスワードリスト攻撃の被害はしばしば発生しています。
記憶に新しい大きいものとしては、2019年6月イオンのネットサービス「暮らしのマネーサイト」とスマホアプリ「イオンウォレット」で、約2000名の顧客情報が悪用され、2200万円もの被害が出てしまいました。
ニンテンドー事件の詳細は?
犯行の手口
任天堂の発表から推定できる、犯行の過程は以下のようと思われます。
- 闇マーケットで膨大なパスワードリストを入手
- 「NNID(=ニンテンドーネットワークID)」会員向けサイトにこのリストを使って次々と不正アクセスし、不正ログインを試みる
- 不正ログインに成功すると、「NNID」内の個人情報を抜き取る。
- さらにNNIDとニンテンドーアカウントの「アカウント連携機能~簡単ログイン」を使って、「ニンテンドーアカウント」にも侵入。個人情報を抜き取ったり、不正課金や課金アイテムの搾取を行う。
- 不正ログインに成功したIDとパスワードを転売する。
ユーザーにはどのような被害があったか?
同じIDやパスワードを使っていた他サービスに侵入される。
30万件の個人情報が流出ということは、犯人にとっては情報を盗んだだけでなく、「ゲーム好きの30万人分の有効なIDとパスワードのリストを手に入れた」ことになります。
大量の攻撃が成功したリストの価値は高まります。多くのハッカー達が、このリストを使って、パスワードリスト攻撃を実行し続けるでしょう。
ユーザーにとっては最悪のリスクが生まれたことになります。
個人情報を勝手に使われる
「ニックネーム、生年月日、国/地域、メールアドレス」がブラックマーケット(ダークウェブ)に流出してしまいました。これらの情報を元に、より高度なフィッシング詐欺などが仕組まれるリスクが高まりました。
課金されたり、課金アイテムを盗まれる
不正ログインにより、勝手に課金されたり、せっかく購入した課金アイテムを盗まれる事になります。すでに被害が報告されています。
任天堂は不正使用された分はユーザーに補償したが、、、
以前発覚した「決済アプリからの引き落としで不正侵入で発生した被害」のようにも「被害の原因がサービス側にあることが明らかな場合」は、責任のある企業側が補償します。
しかし今回の場合は、責任は「パスワードの使い回しをしていたユーザー」側にも大きな落ち度があります。
幸いなことに、任天堂よりは
「今回の不正ログインに関連して、お客様のニンテンドーアカウントに身に覚えのない購入履歴がある等の被害が確認された場合には、個別に調査を行った上で、購入の取消し等の対応を行わせていただきます。順次手続きを進めますのでお待ちください。」と発表されし、6月6日には「既に返金手続きを完了した」と発表していますので、経済的な被害については補償してもらえました。
しかし、今後予想される「流出した個人情報が引き起こす新たな危険」については、誰も補償を約束してはくれません。ユーザー側が自己責任で防止対策しなければなりません。
今回の事件を受けて任天堂がユーザーに頼んだこと
ニンテンドーは今回の事故後、ユーザーへ以下のような対応を依頼しました。
- 他サービス等で使うパスワードの使いまわしは避ける。
- NNIDとニンテンドーアカウントで同一のパスワードを使用しない。
- ニンテンドーアカウントには二段階認証を設定する。
つまり「パスワードの使い回しをやめて!」と「大切なアカウントには二段階認証を設定して」ということです。
結局、パスワードリスト攻撃を避けるには、これが最大の対策なのです!
パスワードリスト攻撃にあわないためにはどうしたら良いか?
ユーザー側は防ぎようがないパスワードリスト攻撃。それでもパスワードを使い回しますか??
ユーザーにとって、パスワードリスト攻撃は「過去どこかのサイトで使っていたIDとパスワードがいつの間にか外部に流出して、勝手に使われてしまった」わけで、ユーザー側には防ぎようがありません。
しかしIDやパスワードの流出はあまりに多く、流出を止めることは難しいのが現実です。
毎日国内で発生している情報流出は以下のセキュリティ情報サイトに日ごとに掲載されています。毎日数件ずつ事故が発生しています。
この中にあなたのアカウント情報がたまたま含まれていなかったとしても、いつかは流出してしまう可能性は極めて高いのです。
それにも関わらずパスワードを使い回すことが、いかに危険な行為なのか?お分かりいただけると思います。
大切なアカウントには、今すぐ二段階認証を設定しましょう
仮にパスワードを使い回して不正ログインされたとしても、二段階認証を設定しておけば、侵入されることはありません。
大切なアカウントは必ず二段階認証も設定しておきましょう。
これさえやっておけば、あなたに万一のことがあっても乗っ取られてデジタル遺品を悪用される心配はありません。
大切なアカウントから確実に「パスワードの使い回し」をやめていきましょう
わかっていても、すぐにすべての「パスワードの使い回し」をやめることは難しいです。せめて大切な物から、たとえば、、、
・Google、Yahoo!といった大手ネットサービス
・銀行やペイメントのようにお金に関わるもの
だけでもパスワードの使い回しはやめましょう。それだけでリスクが大きく減ります。
これらのアカウントが不正利用されたら「どれだけ困って、家族や周囲の人に迷惑をかける」か、少しでも考えたらお分かりいただけるはずです。たったこれだけのことですから、今すぐ取り組むようおすすめします。
ひとつのサービスごとに独自の最低10桁以上できれば15桁程度の強いパスワードを使いましょう。
「パスワードは文字種を組み合わせ8文字(8桁)以上、時々変更しよう」。これは古い危険な情報です。内外の最新の解析や研究を検証した結果は「8文字パスワードは強度不足!」。また「強いパスワードを設定したら二度と変更の必要なし!」。パスワード[…]
パスワードマネージャー(パスワード管理ツール)を使用を検討しましょう。
人間の記憶力には限界があります。いくつもの長いパスワードを覚えることはとうていできません。
いくら安全でも、記憶できないパスワードは使えません。異常気象や地震、新型コロナなど、思いもかけないリスクが高まった今日、安全性と利便性を両立された「最強のパスワード管理の方法」を具体的にご説明します。安全なパスワードは作っても、どう[…]
現実的な解決策としては、便利で安全なパスワードマネージャー(パスワード管理ツール)を使うしかありません。ぜひともご検討ください。
強固なパスワードをあなたに代わって生成し安全に保管し、入力も代行してくれる「パスワードマネージャー(パスワード管理ツール)」は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても利用できる、まさに現代の必需品です。今[…]
「パスワードマネージャー(パスワード管理ツール)」は「デジタル終活~デジタル遺品やデジタル遺産の安全な継承」のために、もっとも重要なツールとなります。しかし国内外多数の製品があって選択には迷ってしまいます。そんな時に頼りになる「パスワー[…]
まとめ:
アカウントの安全こそデジタル終活の基本です
当サイトではデジタル終活を「身の回りのデジタル資産をデジタル遺品やデジタル遺産として整理し、安全にデジタルが使えるよう整備する。さらに万一の際に大切な人に確実に継承できるよう準備すること」と定義しています。
不完全なものは継承するべきはありませんし、流出したアカウントが被害を生み出し、デジタル遺品の消失や悪用によって、ご家族に更なる悲しみをかけることも想定されます。
終活準備の前に、まず身の回りのデジタルの安全を確保しましょう。
だけで安全度は飛躍的に高まります。
毎日発生する事故を教訓に、ぜひご検討ください。
Digital Keeperお薦めのセキュリティソフト
やはりセキュリティ専門ソフトは必要です
現在のデジタル機器はセキュリティが強化され、昔のようにウイルスには簡単に感染させることができなくなりました。
そこで攻撃方法はユーザーをだます「フィッシング」によって、不正プログラムを感染させたり、偽サイトで個人情報を盗み取る手法に移行しています。
Windows10のセキュリティ機能(Windows Defender)は、ウイルスの侵入は防ぎますが、フィッシング対策はありません。
セキュリティ専門ソフトは、より強力な防御力と以下のような追加機能で、あなたとご家族がだまされてしまうリスクも低減し、万一の時も、被害低減してくれます。
- フィッシングサイト等、ネット上の危険なコンテンツへのアクセスを止める。
- フィッシングメールにだまされてうっかりURLをクリックしても「警告」して止める。
- 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
- ネット上にあなたの個人情報が流出していないか調査する。
- お子様のネットの利用時間や不健全なサイト利用を制限する。
- 紛失したスマホを探したり、データを削除する。
- 外出時に使う公衆wifiをVPNを使って安全に使用する。
といった機能です。
※iPhoneは強固な構造のためセキュリティアプリは不要とされています。Androidスマホにはセキュリティアプリは絶対に必要です。
セキュリティソフトの選び方、買い方
セキュリティソフトの選択は、価格や広告で選んではいけません!まして無料なアプリはかえって危険につながることもあります。
- 世界各国で使用実績が豊富で、要求が厳しい企業向け製品にも実績のある
- 運営会社が信頼でき、国家からの干渉がなく、個人情報やデータの秘密が守られる
- 動作が軽く、機器使用の障害にならない
- ご自身だけでなく、ご家族のスマートフォン、タブレットもすべてカバーできる
製品ををおすすめします。
また、タブレットやスマホまで、トータルでカバーできる製品では「子供が紛失したスマホを探し出す」事など家中の機器をもれなく一括してセキュリティ管理でき、個別に揃えるより費用も大幅に安くなります。
購入に当たっては、店頭販売のパッケージ版より、ダウンロード販売の方が価格が安く、使用環境に併せて、使用機器の数や機能を選択できるため、はるかに便利です。
家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。
お奨めのセキュリティソフトは?
Digital Keeperが社内でも使用し、おすすめしているのは「Kaspersky」の製品です。
世界でも指折りのセキュリティ技術の先進国ロシア発祥のセキュリティ会社ですが、今では国家からの干渉を避けるため、本拠をスイスに移し、世界各国の開発拠点で活動しています。
もっとも大切な防御力は世界各地の第三者機関のテストで常に「最上」の評価を受けるなど間違いなくNo.1です。
また付属する機能も豊富で「これだけ入れておけば他のセキュリティ製品は不要」なほどですが、それでいて動作も重くないのがすばらしいです。
下記のバナーから無料の30日間体験版がダウンロードできますので、使ってみて性能を実感してみてください。
