「ニンテンドーアカウント持ってる方はすぐに二段階認証を!」~改めて知るパスワード使い回しの危険とは?

通販サイトを狙ったセキュリティー犯罪が続いていますが、とうとうニンテンドーアカウントが狙われ、16万人もの個人情報が流出しました。
原因はなにか?どうしたら防げるか?ニンテンドー
の事件より、学ぶべき教訓と対策をご説明します。

ニンテンドーユーザーは今すぐ二段階認証を

目次

ニンテンドーアカウントに被害を与えた「パスワードリスト攻撃」とは?

NNIDへの不正ログインによってニンテンドーアカウントから個人情報が流出

2020年4月20日ニンテンドーより衝撃の発表がありました。

かつてニンテンドー3DSシリーズやWii Uで使用されていた古い、「NNID(=ニンテンドーネットワークID)」に大規模な不正ログインが発生し、結果として紐付いていた「ニンテンドーアカウント」に不正ログインを許すことになってしまい、16万人分もの「ニックネーム、生年月日、国/地域、メールアドレス」が流出したのです。

またユーザーからは「勝手に課金された」「課金で手に入れたアイテムを奪われた」などの苦情も多数寄せられています。

対策として、任天堂は、NNID経由で「ニンテンドーアカウント」にログインする機能を停止し、「パスワードの変更」と「ニンテンドーアカウントに二段階認証を設定するよう」呼びかけをはじめました。

原因はパスワードリスト攻撃か?

任天堂の発表によると、今回の流出は、任天堂のシステムが侵入されたのではなく、犯人が入手したIDとパスワードリストを元に、総当たりで侵入を試みる、古典的な「パスワードリスト攻撃」が成功したものと推測されます。
「悪意の第三者が、入手した不正なIDとパスワードが記載されたリストを使って、顧客になりすまして不正アクセス。一致したIDとパスワードでログインに成功し顧客情報の一部をのぞき見た」もので、このような攻撃を「パスワードリスト攻撃」といいます。

 

同様の事例は、過去多数発生。2019年にはイオンでは2200万円もの被害

パスワードリスト攻撃の被害はしばしば発生しています。
記憶に新しい大きいものとしては、2019年6月イオンのネットサービス「暮らしのマネーサイト」とスマホアプリ「イオンウォレット」で、約2000名の顧客情報が悪用され、2200万円もの被害が出てしまいました

 

ニンテンドー事件の詳細は?

犯行の手口

任天堂の発表から推定できる、犯行の過程は以下のようと思われます。

  1. 闇マーケットで膨大なパスワードリストを入手
  2. 「NNID(=ニンテンドーネットワークID)」会員向けサイトにこのリストを使って不正アクセスし、不正ログインを試みる
  3. 不正ログインに成功すると、「NNID」内の個人情報を抜き取る。
  4. 更にNNIDとニンテンドーアカウントの「アカウント連携機能~簡単ログイン」を使って、「ニンテンドーアカウント」にも侵入。個人情報を抜き取ったり、不正課金や課金アイテムの搾取を行う。

ユーザーにはどのような被害があったか?

同じIDやパスワードを使っていた他サービスに侵入される。

16万件の個人情報が流出ということは、犯人にとっては情報を盗んだだけでなく、「ゲーム好きの16万人分の有効なIDとパスワードのリストを手に入れた」ことに他なりません。
大量の攻撃が成功したリストの価値は高まります。多くのハッカー達が、このリストを使って、パスワードリスト攻撃を実行し続けるでしょう。

ユーザーにとっては最悪のリスクが生まれたことになります。

個人情報を勝手に使われる

「ニックネーム、生年月日、国/地域、メールアドレス」がブラックマーケットに流出してしまいました。これらの情報を元に、より高度なフィッシング詐欺などが仕組まれるリスクが高まりました。

課金されたり、課金アイテムを盗まれる

不正ログインにより、勝手に課金されたり、せっかく購入した課金アイテムを盗まれる事になります。すでに被害が報告されています。

ユーザーに補償はされるのか?

以前発覚した「決済アプリからの引き落としで不正侵入で発生した被害」のようにも「被害の原因がサービス側にあることが明らかな場合」は、責任のある企業側が補償します
しかし今回の場合は、責任は「パスワードの使い回しをしていたユーザー」側にも大きな落ち度があります。

幸いなことに、任天堂よりは
「今回の不正ログインに関連して、お客様のニンテンドーアカウントに身に覚えのない購入履歴がある等の被害が確認された場合には、個別に調査を行った上で、購入の取消し等の対応を行わせていただきます。順次手続きを進めますのでお待ちください。」と発表されていますので、経済的な被害については補償してもらえるようです。

しかし、今後予想される「流出した個人情報が引き起こす新たな危険」については、誰も補償を約束してはくれません。ユーザー側が自己責任で防止対策しなければなりません。

今回の事件を受けて任天堂がユーザーに頼んだこと

ニンテンドーは今回の事故後、ユーザーへ以下のような対応を依頼しました。

  • 他サービス等で使うパスワードの使いまわしは避ける。
  • NNIDとニンテンドーアカウントで同一のパスワードを使用しない。
  • ニンテンドーアカウントには二段階認証を設定する。

つまり「パスワードの使い回しをやめて!」と「大切なアカウントには二段階認証を設定して」ということです。

結局、パスワードリスト攻撃を避けるには、これが最大の対策なのです!

パスワードリスト攻撃にあわないためにはどうしたら良いか?

ユーザー側は防ぎようがないパスワードリスト攻撃。それでもパスワードを使い回しますか??

ユーザーにとって、パスワードリスト攻撃は「過去どこかのサイトで使っていたIDとパスワードがいつの間にか外部に流出して、勝手に使われてしまった」わけで、ユーザー側には防ぎようがありません。

しかしIDやパスワードの流出はあまりに多く、流出を止めることは難しいのが現実です。

毎日国内で発生している情報流出は以下のセキュリティー情報サイトに日ごとに掲載されています。毎日数件ずつ事故が発生しています
この中にあなたのアカウント情報がたまたま含まれていなかったとしても、いつかは流出してしまう可能性は極めて高いのです。

それにも関わらずパスワードを使い回すことが、いかに危険な行為なのか?お分かりいただけると思います。

大切なアカウントには、今すぐ二段階認証を設定しましょう

仮にパスワードを使い回して不正ログインされたとしても、二段階認証を設定しておけば、侵入されることはありません。

大切なアカウントは必ず二段階認証も設定しておきましょう。
これさえやっておけば、あなたに万一のことがあっても乗っ取られてデジタル遺品を悪用される心配はありません。

大切なアカウントから確実に「パスワードの使い回し」をやめていきましょう

わかっていても、すぐにすべての「パスワードの使い回し」をやめることは難しいです。せめて大切な物から、たとえば、、、

・LINE、Facebookなど日常使っているSNS
・Google、Yahoo!といった大手ネットサービス
・銀行やペイメントのようにお金に関わるもの

だけでもパスワードの使い回しはやめましょう。それだけでリスクが大きく減ります。

これらのアカウントが不正利用されたら「どれだけ困って、家族や周囲の人に迷惑をかける」か、少しでも考えたらお分かりいただけるはずです。たったこれだけのことですから、今すぐ取り組むようおすすめします。
ひとつのサービスごとに独自の最低10桁以上できれば15桁程度の強いパスワードを使いましょう。

関連記事

いろいろなところで目にする「パスワードは8文字(8桁)以上、時々変更しましょう」。これで本当に大丈夫なのか? 内外の最新研究を検証した衝撃の結果は「今では8文字パスワードは弱い!」しかし「強いパスワードを設定したら二度と変更の必要なし!」[…]

パスワードをあらゆる手段で盗み出すハッカーのイメージ

パスワードマネージャーを使用を検討しましょう。

人間の記憶力には限界があります。いくつもの長いパスワードを覚えることはとうていできません。

関連記事

いくら安全でも、記憶できないパスワードは使えません。 「デジタル終活~デジタル遺産とデジタル遺品の継承のため」覚えることのできる安全なパスワードの設定方法を具体的にご説明します。 1 安全なパスワードを整備する現実的な方法があるのか[…]

現実的な解決策としては、便利で安全なパスワードマネージャーを使うしかありません。ぜひともご検討ください。

関連記事

パスワードに関する悩みだけでなく、大事な秘密情報の保管場所としても、デジタル終活のツールとしても利用できる「パスワードマネージャー」。まさにデジタル終活の必需品です。 デジタル遺品やデジタル遺産を守るためにも必須ツール、政府機関もすすめる[…]

関連記事

「パスワードマネージャー」は「デジタル終活~デジタル遺品やデジタル遺産の安全な継承」のために、もっとも重要なツールとなります。しかし国内外多数の製品があって選択には迷ってしまいます。 そんな時に頼りになる「パスワードマネージャー比較サイト[…]

パスワードマネージャーのイメージ画像

 

まとめ:
アカウントの安全こそデジタル終活の基本です

当サイトではデジタル終活を「身の回りのデジタル資産をデジタル遺品やデジタル遺産として整理し、安全にデジタルが使えるよう整備する。さらに万一の際に大切な人に確実に継承できるよう準備すること」と定義しています。

不完全なものは継承するべきはありませんし、流出したアカウントが被害を生み出し、デジタル遺品の消失や悪用によって、ご家族に更なる悲しみをかけることも想定されます。

終活準備の前に、まず身の回りのデジタルの安全を確保しましょう。

  1. アカウントの断捨離
  2. パスワードの使い回しをやめる
  3. パスワードマネージャーを使用する

だけで安全度は飛躍的に高まります。

毎日発生する事故を教訓に、ぜひご検討ください。

このブログの運営サービスが日経新聞で紹介されました

オンラインデジタル終活サービスDigital Keeperが独創的スタートアップとして日経に!

2019年12月11日付の日本経済新聞朝刊「東京・首都圏経済」面「Edgy企業」に”「情報の遺品」管理容易”と、Digital Keeperが掲載されました。
「Edgy企業」は毎回独自性の高いスタートアップ企業が取り上げられますが、当社Digital Keeperのシンプルで柔軟なスキームや「情報本体と鍵を分散して保存する多要素分散保管」が評価されました。
日本経済新聞 電子版(有料会員限定)
https://www.nikkei.com/article/DGXMZO53111870Z01C19A2L83000/

月々たった167円で実現するクラウド時代の終活サポートサービスとは

それは「独創的で、これから必要なサービス!」と日経新聞やテレビでも取り上げられたDigital Keeperです。
月々わずか167円(年会費2000円)で、一般的な終活だけでなく、「どなたにも今すぐ必要なデジタル終活」もできてしまう、新しいオンラインサービスです。
Digital Keeperでまず「大切なスマホやパソコンのデジタル終活」を5分で実現しましょう。そしてDigital Keeperがお届けする情報を参考にご自身にあった終活や「デジタルキーピング~デジタルの安全と安心」を進めましょう。

詳細は下記バナーからどうぞ!(新しいウィンドウでご覧いただけます)。
Digital Keeperバナー

 

プッシュ通知を
>

「デジタルキーパー社公式ブログについて」
このブログはデジタルキーパー株式会社が「デジタルの安全な使用と継承~デジタルキーピング」をテーマに、「スマホ、PCの安全な使用方」から「正しいパスワード」「不正アクセスの防ぎ方」「デジタル遺品管理などデジタル終活の方法」まで、様々なノウハウをご紹介するブログです。
さらに2019年夏「コーヒー1杯分の代金でデジタル終活支援サービス~Digital Keeper」をスタートしました。
すでに日経新聞他マスコミ各社で取り上げられた、誰にも必要なデジタルキービングをサポートするサービスです。

CTR IMG