fbpx

「ニンテンドーアカウントにはすぐに二段階認証を!」~改めて知るパスワード使い回しの危険とは?

ニンテンドーユーザーは今すぐ二段階認証を
通販サイトを狙ったセキュリティ犯罪が続いていますが、とうとうニンテンドーアカウントが狙われ、30万人(6月9日に16→30万人と追加発表)追記もの個人情報が流出しました。
原因はなにか?どうしたら防げるか?ニンテンドー
の事件より、学ぶべき教訓と対策をご説明します。
/ins>

ニンテンドーアカウントに被害を与えた「パスワードリスト攻撃」とは?

NNIDへの不正ログインによってニンテンドーアカウントから個人情報が流出

2020年4月20日ニンテンドーより衝撃の発表がありました。

かつてニンテンドー3DSシリーズやWii Uで使用されていた古い、「NNID(=ニンテンドーネットワークID)」に大規模な不正ログインが発生し、結果として紐付いていた「ニンテンドーアカウント」に不正ログインを許すことになってしまい、16万人分もの「ニックネーム、生年月日、国/地域、メールアドレス」が流出したのです。

またユーザーからは「勝手に課金された」「課金で手に入れたアイテムを奪われた」などの苦情も多数寄せられています。

対策として、任天堂は、NNID経由で「ニンテンドーアカウント」にログインする機能を停止し、「パスワードの変更」と「ニンテンドーアカウントに二段階認証を設定するよう」呼びかけをはじめました。

さらに9月6日に「盗まれた可能性のあるNNIDが新たに14万件発見されて、総数は30万件」「不正に使われたのは1%未満であり、すでに返金が行われた」ことが追加発表されました。

原因はパスワードリスト攻撃か?

任天堂の発表によると、今回の流出は、任天堂のシステムが侵入されたのではなく、犯人が入手したIDとパスワードリストを元に、総当たりで侵入を試みる、古典的な「パスワードリスト攻撃」が成功したものと推測されます。

不正に入手されたユーザーの氏名、住所、生年月日、口座、暗証番号、パスワードなどをセットにしてリスト化した情報は「Fullz」(フルズ)と呼ばれて、ブラックマーケットで盛んに流通しています。

ハッカー達はパスワードリスト(Fullz)の更新は「自分のテクニックを誇示すると共に大きな収益を生む源泉なので」リストの精度は日々向上しています。

「悪意の第三者が、入手した不正なIDとパスワードが記載されたリストを使って、顧客になりすまして不正アクセス。一致したIDとパスワードでログインに成功し顧客情報の一部をのぞき見た」もので、このような攻撃を「パスワードリスト攻撃」といいます。

 

同様の事例は、過去多数発生。2019年にはイオンでは2200万円もの被害

パスワードリスト攻撃の被害はしばしば発生しています。

記憶に新しい大きいものとしては、2019年6月イオンのネットサービス「暮らしのマネーサイト」とスマホアプリ「イオンウォレット」で、約2000名の顧客情報が悪用され、2200万円もの被害が出てしまいました

 

ニンテンドー事件の詳細は?

犯行の手口

任天堂の発表から推定できる、犯行の過程は以下のようと思われます。

  1. 闇マーケットで膨大なパスワードリストを入手
  2. 「NNID(=ニンテンドーネットワークID)」会員向けサイトにこのリストを使って次々と不正アクセスし、不正ログインを試みる
  3. 不正ログインに成功すると、「NNID」内の個人情報を抜き取る。
  4. さらにNNIDとニンテンドーアカウントの「アカウント連携機能~簡単ログイン」を使って、「ニンテンドーアカウント」にも侵入。個人情報を抜き取ったり、不正課金や課金アイテムの搾取を行う。
  5. 不正ログインに成功したIDとパスワードを転売する。

ユーザーにはどのような被害があったか?

同じIDやパスワードを使っていた他サービスに侵入される。

30万件の個人情報が流出ということは、犯人にとっては情報を盗んだだけでなく、「ゲーム好きの30万人分の有効なIDとパスワードのリストを手に入れた」ことになります。
大量の攻撃が成功したリストの価値は高まります。多くのハッカー達が、このリストを使って、パスワードリスト攻撃を実行し続けるでしょう。

ユーザーにとっては最悪のリスクが生まれたことになります。

個人情報を勝手に使われる

「ニックネーム、生年月日、国/地域、メールアドレス」がブラックマーケット(ダークウェブ)に流出してしまいました。これらの情報を元に、より高度なフィッシング詐欺などが仕組まれるリスクが高まりました。

課金されたり、課金アイテムを盗まれる

不正ログインにより、勝手に課金されたり、せっかく購入した課金アイテムを盗まれる事になります。すでに被害が報告されています。

任天堂は不正使用された分はユーザーに補償したが、、、

以前発覚した「決済アプリからの引き落としで不正侵入で発生した被害」のようにも「被害の原因がサービス側にあることが明らかな場合」は、責任のある企業側が補償します
しかし今回の場合は、責任は「パスワードの使い回しをしていたユーザー」側にも大きな落ち度があります。

幸いなことに、任天堂よりは
「今回の不正ログインに関連して、お客様のニンテンドーアカウントに身に覚えのない購入履歴がある等の被害が確認された場合には、個別に調査を行った上で、購入の取消し等の対応を行わせていただきます。順次手続きを進めますのでお待ちください。」と発表されし、6月6日には「既に返金手続きを完了した」と発表していますので、経済的な被害については補償してもらえました。

しかし、今後予想される「流出した個人情報が引き起こす新たな危険」については、誰も補償を約束してはくれません。ユーザー側が自己責任で防止対策しなければなりません。

今回の事件を受けて任天堂がユーザーに頼んだこと

ニンテンドーは今回の事故後、ユーザーへ以下のような対応を依頼しました。

  • 他サービス等で使うパスワードの使いまわしは避ける。
  • NNIDとニンテンドーアカウントで同一のパスワードを使用しない。
  • ニンテンドーアカウントには二段階認証を設定する。

つまり「パスワードの使い回しをやめて!」と「大切なアカウントには二段階認証を設定して」ということです。

結局、パスワードリスト攻撃を避けるには、これが最大の対策なのです!

パスワードリスト攻撃にあわないためにはどうしたら良いか?

ユーザー側は防ぎようがないパスワードリスト攻撃。それでもパスワードを使い回しますか??

ユーザーにとって、パスワードリスト攻撃は「過去どこかのサイトで使っていたIDとパスワードがいつの間にか外部に流出して、勝手に使われてしまった」わけで、ユーザー側には防ぎようがありません。

しかしIDやパスワードの流出はあまりに多く、流出を止めることは難しいのが現実です。

毎日国内で発生している情報流出は以下のセキュリティ情報サイトに日ごとに掲載されています。毎日数件ずつ事故が発生しています
この中にあなたのアカウント情報がたまたま含まれていなかったとしても、いつかは流出してしまう可能性は極めて高いのです。

それにも関わらずパスワードを使い回すことが、いかに危険な行為なのか?お分かりいただけると思います。

大切なアカウントには、今すぐ二段階認証を設定しましょう

仮にパスワードを使い回して不正ログインされたとしても、二段階認証を設定しておけば、侵入されることはありません。

大切なアカウントは必ず二段階認証も設定しておきましょう。
これさえやっておけば、あなたに万一のことがあっても乗っ取られてデジタル遺品を悪用される心配はありません。

大切なアカウントから確実に「パスワードの使い回し」をやめていきましょう

わかっていても、すぐにすべての「パスワードの使い回し」をやめることは難しいです。せめて大切な物から、たとえば、、、

・LINE、Facebookなど日常使っているSNS
・Google、Yahoo!といった大手ネットサービス
・銀行やペイメントのようにお金に関わるもの

だけでもパスワードの使い回しはやめましょう。それだけでリスクが大きく減ります。

これらのアカウントが不正利用されたら「どれだけ困って、家族や周囲の人に迷惑をかける」か、少しでも考えたらお分かりいただけるはずです。たったこれだけのことですから、今すぐ取り組むようおすすめします。
ひとつのサービスごとに独自の最低10桁以上できれば15桁程度の強いパスワードを使いましょう。

ブログ内の関連記事(新しいウィンドウで開きます)

「パスワードは文字種を組み合わせ8文字(8桁)以上、時々変更しよう」。これは古い危険な情報です。内外の最新の解析や研究を検証した結果は「8文字パスワードは弱い!」。また「強いパスワードを設定したら二度と変更の必要なし!」。パスワードの強[…]

パスワードをあらゆる手段で盗み出すハッカーのイメージ

パスワードマネージャー(パスワード管理ツール)を使用を検討しましょう。

人間の記憶力には限界があります。いくつもの長いパスワードを覚えることはとうていできません。

ブログ内の関連記事(新しいウィンドウで開きます)

いくら安全でも、記憶できないパスワードは使えません。異常気象や地震、新型コロナなど、思いもかけないリスクが高まった今日、安全性と利便性を両立された「最強のパスワード管理の方法」を具体的にご説明します。安全なパスワードは作っても、どう[…]

現実的な解決策としては、便利で安全なパスワードマネージャー(パスワード管理ツール)を使うしかありません。ぜひともご検討ください。

ブログ内の関連記事(新しいウィンドウで開きます)

強固なパスワードをあなたに代わって生成し安全に保管し、入力も代行してくれる「パスワードマネージャー(パスワード管理ツール)」は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても利用できる、まさに現代の必需品です。今[…]

ブログ内の関連記事(新しいウィンドウで開きます)

「パスワードマネージャー(パスワード管理ツール)」は「デジタル終活~デジタル遺品やデジタル遺産の安全な継承」のために、もっとも重要なツールとなります。しかし国内外多数の製品があって選択には迷ってしまいます。そんな時に頼りになる「パスワー[…]

パスワードマネージャーのイメージ画像

まとめ:
アカウントの安全こそデジタル終活の基本です

当サイトではデジタル終活を「身の回りのデジタル資産をデジタル遺品やデジタル遺産として整理し、安全にデジタルが使えるよう整備する。さらに万一の際に大切な人に確実に継承できるよう準備すること」と定義しています。

不完全なものは継承するべきはありませんし、流出したアカウントが被害を生み出し、デジタル遺品の消失や悪用によって、ご家族に更なる悲しみをかけることも想定されます。

終活準備の前に、まず身の回りのデジタルの安全を確保しましょう。

  1. アカウントの断捨離
  2. パスワードの使い回しをやめる
  3. パスワードマネージャー(パスワード管理ツール)を使用する

だけで安全度は飛躍的に高まります。

毎日発生する事故を教訓に、ぜひご検討ください。

 

Digital Keeperお薦めのセキュリティソフト

やはりセキュリティ専門ソフトは必要です

今ではWindows10のようなOSは標準でセキュリティ機能(Windows Defender)が含まれており、コンピューターウイルスやマルウェアの侵入を防御してくれますが、機能は基本的なものに留まります。

セキュリティを専門とするソフトは、より強力な防御力と、さまざまな追加機能によってあなたとご家族を守ってくれます。

たとえば

  • フィッシングメールに惑わされてうっかりURLをクリックしても「警告して先に進むことを止める」。
  • 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
  • ネット上にあなたの個人情報が流出していないか調査する。
  • 子供のネットの利用時間や不健全なサイト利用を制限する。
  • スマホを紛失時に探したり、データを削除する。
  • 外出時に使う公衆wifiをVPNを使って安全に使用する。

といった機能です。

セキュリティソフトの選び方、買い方

いろいろなセキュリティソフトがありますが、選択に当たっては、価格や広告上の性能だけでなく、

  • 老舗で世界各国で使用されてきた実績が豊富で、ユーザー数の多く、消費者向けだけではなく、企業向けにも実績のあるもの
  • ご本人のパソコンだけでなく、ご家族のスマートフォン、タブレットもすべてカバーできるもの
  • 運営会社が信頼でき、国家からの干渉がなく、データの保全が図られるもの
  • 動作が軽く、機器の使用に障害がないもの

を選択してください。

また、パソコンだけでなく、タブレットやスマホまで、トータルでカバーする製品が望ましいです。こうしておくと「機械に不慣れな奥様がスマホを紛失した際にご主人が探し出す」事など家中の機器をもれなく一括してセキュリティ管理できてしまいますし、個別に揃えるより費用が大幅に安くなります。

購入に当たっては、店頭で箱に入っているパッケージ版より、ダウンロード販売の方がずっと価格も安く、ご自宅の環境に併せて、利用できる機器の数や機能を選択できるためはるかに便利です

家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。

お奨めのセキュリティソフトは?

Digital Keeperが社内でも使用し、おすすめしているのは「Kaspersky」の製品です。

世界でも指折りのセキュリティ技術の先進国ロシア発祥のセキュリティ会社ですが、今では国家からの干渉を避けるため、本拠をスイスに移し、世界各国の開発拠点で活動しています。

もっとも大切な防御力は世界各地の第三者機関のテストで常に「最上」の評価を受けるなど間違いなくNo.1です。

また付属する機能も豊富で「これだけ入れておけば他のセキュリティ製品は不要」なほどですが、それでいて動作も重くないのがすばらしいです。

下記のバナーで無料の30日間体験版がダウンロードできます。使ってみて性能を実感してみてください。