原因はなにか?どうしたら防げるか?ニンテンドーの事件より、学ぶべき教訓と対策をご説明します。
ニンテンドーアカウントに被害を与えた「パスワードリスト攻撃」とは?
NNIDへの不正ログインによってニンテンドーアカウントから個人情報が流出
かつてニンテンドー3DSシリーズやWii Uで使用されていた古い、「NNID(=ニンテンドーネットワークID)」に大規模な不正ログインが発生し、結果として紐付いていた「ニンテンドーアカウント」に不正ログインを許すことになってしまい、16万人分もの「ニックネーム、生年月日、国/地域、メールアドレス」が流出したのです。
またユーザーからは「勝手に課金された」「課金で手に入れたアイテムを奪われた」などの苦情も多数寄せられています。
対策として、任天堂は、NNID経由で「ニンテンドーアカウント」にログインする機能を停止し、「パスワードの変更」と「ニンテンドーアカウントに二段階認証を設定するよう」呼びかけをはじめました。
さらに9月6日に「盗まれた可能性のあるNNIDが新たに14万件発見されて、総数は30万件」「不正に使われたのは1%未満であり、すでに返金が行われた」ことが追加発表されました。
原因はパスワードリスト攻撃か?
不正に入手されたユーザーの氏名、住所、生年月日、口座、暗証番号、パスワードなどをセットにしてリスト化した情報は「Fullz」(フルズ)と呼ばれて、ブラックマーケットで盛んに流通しています。
ハッカー達はパスワードリスト(Fullz)の更新は「自分のテクニックを誇示すると共に大きな収益を生む源泉なので」リストの精度は日々向上しています。
同様の事例は、過去多数発生。2019年にはイオンでは2200万円もの被害
パスワードリスト攻撃の被害はしばしば発生しています。
記憶に新しい大きいものとしては、2019年6月イオンのネットサービス「暮らしのマネーサイト」とスマホアプリ「イオンウォレット」で、約2000名の顧客情報が悪用され、2200万円もの被害が出てしまいました。
ニンテンドー事件の詳細は?
犯行の手口
任天堂の発表から推定できる、犯行の過程は以下のようと思われます。
- 闇マーケットで膨大なパスワードリストを入手
- 「NNID(=ニンテンドーネットワークID)」会員向けサイトにこのリストを使って次々と不正アクセスし、不正ログインを試みる
- 不正ログインに成功すると、「NNID」内の個人情報を抜き取る。
- さらにNNIDとニンテンドーアカウントの「アカウント連携機能~簡単ログイン」を使って、「ニンテンドーアカウント」にも侵入。個人情報を抜き取ったり、不正課金や課金アイテムの搾取を行う。
- 不正ログインに成功したIDとパスワードを転売する。
ユーザーにはどのような被害があったか?
同じIDやパスワードを使っていた他サービスに侵入される。
30万件の個人情報が流出ということは、犯人にとっては情報を盗んだだけでなく、「ゲーム好きの30万人分の有効なIDとパスワードのリストを手に入れた」ことになります。
大量の攻撃が成功したリストの価値は高まります。多くのハッカー達が、このリストを使って、パスワードリスト攻撃を実行し続けるでしょう。
ユーザーにとっては最悪のリスクが生まれたことになります。
個人情報を勝手に使われる
「ニックネーム、生年月日、国/地域、メールアドレス」がブラックマーケット(ダークウェブ)に流出してしまいました。これらの情報を元に、より高度なフィッシング詐欺などが仕組まれるリスクが高まりました。
課金されたり、課金アイテムを盗まれる
不正ログインにより、勝手に課金されたり、せっかく購入した課金アイテムを盗まれる事になります。すでに被害が報告されています。
任天堂は不正使用された分はユーザーに補償したが、、、
以前発覚した「決済アプリからの引き落としで不正侵入で発生した被害」のようにも「被害の原因がサービス側にあることが明らかな場合」は、責任のある企業側が補償します。
しかし今回の場合は、責任は「パスワードの使い回しをしていたユーザー」側にも大きな落ち度があります。
幸いなことに、任天堂よりは
「今回の不正ログインに関連して、お客様のニンテンドーアカウントに身に覚えのない購入履歴がある等の被害が確認された場合には、個別に調査を行った上で、購入の取消し等の対応を行わせていただきます。順次手続きを進めますのでお待ちください。」と発表されし、6月6日には「既に返金手続きを完了した」と発表していますので、経済的な被害については補償してもらえました。
しかし、今後予想される「流出した個人情報が引き起こす新たな危険」については、誰も補償を約束してはくれません。ユーザー側が自己責任で防止対策しなければなりません。
今回の事件を受けて任天堂がユーザーに頼んだこと
ニンテンドーは今回の事故後、ユーザーへ以下のような対応を依頼しました。
- 他サービス等で使うパスワードの使いまわしは避ける。
- NNIDとニンテンドーアカウントで同一のパスワードを使用しない。
- ニンテンドーアカウントには二段階認証を設定する。
つまり「パスワードの使い回しをやめて!」と「大切なアカウントには二段階認証を設定して」ということです。
結局、パスワードリスト攻撃を避けるには、これが最大の対策なのです!
パスワードリスト攻撃にあわないためにはどうしたら良いか?
ユーザー側は防ぎようがないパスワードリスト攻撃。それでもパスワードを使い回しますか??
ユーザーにとって、パスワードリスト攻撃は「過去どこかのサイトで使っていたIDとパスワードがいつの間にか外部に流出して、勝手に使われてしまった」わけで、ユーザー側には防ぎようがありません。
しかしIDやパスワードの流出はあまりに多く、流出を止めることは難しいのが現実です。
毎日国内で発生している情報流出は以下のセキュリティ情報サイトに日ごとに掲載されています。毎日数件ずつ事故が発生しています。
この中にあなたのアカウント情報がたまたま含まれていなかったとしても、いつかは流出してしまう可能性は極めて高いのです。
それにも関わらずパスワードを使い回すことが、いかに危険な行為なのか?お分かりいただけると思います。
大切なアカウントには、今すぐ二段階認証を設定しましょう
仮にパスワードを使い回して不正ログインされたとしても、二段階認証を設定しておけば、侵入されることはありません。
大切なアカウントは必ず二段階認証も設定しておきましょう。
これさえやっておけば、あなたに万一のことがあっても乗っ取られてデジタル遺品を悪用される心配はありません。
大切なアカウントから確実に「パスワードの使い回し」をやめていきましょう
わかっていても、すぐにすべての「パスワードの使い回し」をやめることは難しいです。せめて大切な物から、たとえば、、、
・Google、Yahoo!といった大手ネットサービス
・銀行やペイメントのようにお金に関わるもの
だけでもパスワードの使い回しはやめましょう。それだけでリスクが大きく減ります。
これらのアカウントが不正利用されたら「どれだけ困って、家族や周囲の人に迷惑をかける」か、少しでも考えたらお分かりいただけるはずです。たったこれだけのことですから、今すぐ取り組むようおすすめします。
ひとつのサービスごとに独自の最低10桁以上できれば15桁程度の強いパスワードを使いましょう。
「パスワードは文字種を組み合わせ8文字(8桁)以上」「時々変更しよう」。これは古い危険な情報です。内外の最新の解析や研究を検証した結果は「8文字パスワードは強度不足!」、また「強いパスワードを設定したら二度と変更の必要なし!」。パス[…]
パスワードマネージャー(パスワード管理ツール)を使用を検討しましょう。
人間の記憶力には限界があります。いくつもの長いパスワードを覚えることはとうていできません。
いくら安全でも、記憶できないパスワードは使えません。異常気象や地震、新型コロナなど、思いもかけないリスクが高まった今日、安全性と利便性を両立された「最強のパスワード管理の方法」を具体的にご説明します。安全なパスワードは作っても、どう[…]
現実的な解決策としては、便利で安全なパスワードマネージャー(パスワード管理ツール)を使うしかありません。ぜひともご検討ください。
強固なパスワードをあなたに代わって生成し安全に保管し、入力も代行してくれる「パスワードマネージャー(パスワード管理ツール)」は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても利用できる、まさに現代の必需品です。今[…]
「パスワードマネージャー(パスワード管理ツール)」は「デジタル終活~デジタル遺品やデジタル遺産の安全な継承」のために、もっとも重要なツールとなります。しかし国内外多数の製品があって選択には迷ってしまいます。そんな時に頼りになる「パスワー[…]
まとめ:
アカウントの安全こそデジタル終活の基本です
当サイトではデジタル終活を「身の回りのデジタル資産をデジタル遺品やデジタル遺産として整理し、安全にデジタルが使えるよう整備する。さらに万一の際に大切な人に確実に継承できるよう準備すること」と定義しています。
不完全なものは継承するべきはありませんし、流出したアカウントが被害を生み出し、デジタル遺品の消失や悪用によって、ご家族に更なる悲しみをかけることも想定されます。
終活準備の前に、まず身の回りのデジタルの安全を確保しましょう。
だけで安全度は飛躍的に高まります。
毎日発生する事故を教訓に、ぜひご検討ください。
「私のスマホやパソコンがハッキング、感染しているかも、、」本当にハッキングされているか確実に調べる方法は?
ネット上のデマや悪質業者の広告を信じてはいけない!
当ブログでご説明しているとおり、スマホやパソコンに突然現れる「ハッキングやウイルスの警告」は広告目的の詐欺警告がほとんどです。
しかし、まれとは言え、時には「不正なアプリをインストールされた」「アカウントを乗っ取られた」などが原因で本当にハッキングされることもあります。
「本当にハッキングされているかも、、」とどうしても心配なときは、ハッキングやウイルス感染などの調査を行っている専門会社に調査を依頼しましょう。
しかし、ネットで調べると、ハッキング調査を探偵や興信所が行っているところが見つかりますが、パソコンやスマホのセキュリティが強化されている現在、ログ解析などのハッキング調査は高度な技術と実績を持つ専門家しかできません。
より正確な情報を安全に調べるには、ハッキング調査の専門業者に相談しましょう。
おすすめのハッキング調査会社:デジタルデータフォレンジック
デジタルキーパーも貴重な情報を提供いただいている「デジタルデータソリューション株式会社 の《デジタルデータフォレンジック》」は、官公庁、警察・捜査機関からの信頼も厚い、国内随一の高い技術と実績を持つサービスです。
累計の相談件数は1万4,000件以上。国内売上11年連続No.1のデータ復旧技術を利用して、デジタル遺品の調査・データ抽出を受け付けています。
相談~調査の見積もりまでは無料で対応してくれるので、まずは一度相談してみるとよいのではないでしょうか。
