ODN







特集コンテンツ
ポイントを不正利用されるかも!?

IDとパスワード乗っ取りに遭わないための対策法

2017/11/30
ポイントを不正利用されるかも!? IDとパスワード乗っ取りに遭わないための対策法

ショッピングやネットバンキングなど、ネットサービスの認証に用いるIDとパスワード(アカウント情報)を破られ、お金や情報を盗み取られる被害が後を絶ちません。様々なサイトで使用するIDとパスワードの管理をついおろそかにしている利用者は多いのではないでしょうか。サイバー犯罪者がアカウントの乗っ取りに用いる手口を知り、有効な対策を理解しましょう。

アカウント管理をおろそかにしていませんか?

通販サイトやネットバンキング利用時に使われるアカウントの不正利用が深刻な脅威となっています。他人のポイントを使って商品をだまし取った詐欺と不正アクセス禁止法違反の疑いで複数の男性が今年9月に逮捕された事件は、新聞やテレビなどで大きく報道されました。

こうした被害に遭う原因は、通販サイトの認証に用いるIDとパスワードを破られてしまったことにあります。犯人は、何らかの方法で入手した他人のIDとパスワードを使って通販サイトのアカウントに侵入し、ポイントと交換可能な商品をだまし取ったのです。

アカウント乗っ取りの対象は、通販サイトだけではありません。ネットバンキングやSNS、クラウドストレージなどのサービスに不正アクセスし、お金や情報を盗み取る犯罪が多発しています。警察庁が2017年3月に公表した不正アクセス発生状況に関する報告によると、2016年に確認された不正アクセスは1,840件に上りました。不正ログイン後に行われた行為の内訳では、「インターネットバンキングでの不正送金」が1,305件と最も多く、「インターネットショッピングでの不正購入」(172件)、「オンラインゲーム、コミュニティサイトの不正操作」(124件)、「メールの盗み見等の情報の不正入手」(91件)が続きました。サイバー犯罪者はサービスのアカウントを乗っ取ることで、お金や情報を不当に得ようとしていることがわかります。

アカウントの乗っ取りはいまやネット利用者によって身近な脅威です。サイバー犯罪者によるアカウント乗っ取りの手口を見ていきましょう。

アカウント乗っ取りの代表的な手口

アカウントリスト攻撃

これは、IDとパスワードの組み合わせのリストを攻撃者が何らかの方法で手に入れ、このリストを使って複数のサービスにログインを試みる攻撃手法です。複数のサービスで同一のIDとパスワードを使い回しているユーザは、一組のIDとパスワードで複数のサイトでアカウントを不正利用されてしまうことになります。不正アクセス事例の多くがアカウントリスト攻撃によるものとされており、今一番注意が必要な攻撃です。

辞書攻撃/総当たり攻撃

アカウント乗っ取りの手法としては、辞書に載っている英単語やパスワードによく使われる単語を登録したリストを準備し、それらを1つのIDに対して順番に試していく辞書攻撃もあります。また、プログラムによってパスワードに使用できる文字種の組み合わせを片っ端から試していく総当たり攻撃もあります。一般的な辞書に載っている単語や、短く単純な文字列をパスワードに設定していると、この攻撃によるアカウントの乗っ取り被害に遭うリスクを高めてしまいます。

図:インターネットで公開されている辞書ファイルに記載された攻撃用パスワードの例

キーロガー

アカウントの乗っ取りには、キーボードで入力された情報を外部に送信するキーロガーと呼ばれるウイルスが用いられることもあります。サイバー犯罪者はキーロガーによって収集したキー入力情報を解析することで、標的のIDとパスワードを割り出すのです。たとえば、迷惑メールの添付ファイルを開いたことがきっかけで、キーロガーに感染してしまうことがあります。キーロガーはネットカフェなどの不特定多数が利用するパソコンに仕込まれやすいため注意しましょう。

図:パスワード入力をキーロガーで読み取った例
(左側の被害者がネットバンキングのサイトで入力した内容が、右側の攻撃者の端末に表示される様子)

フィッシング詐欺

フィッシング詐欺は、実在する通販サイトや銀行、クレジットカード会社などの正規のログインページを装う偽サイトへ誘導し、そこで入力させたIDとパスワードなどをだまし取る手口です。サイバー犯罪者は、実在する配送業者を装う不在通知メールや、著名なサービスで使われるアカウントのパスワード再設定を促す文面のメールを送りつけ、そこからフィッシングサイトへ誘い込むことがあります。SNSでも、不特定多数の相手に友人のふりなどをして、アカウント乗っ取りを仕掛けるフィッシングに要注意です。

4つの対策でアカウントを安全に管理しよう

第三者に推測されにくいパスワードを設定する

アルファベットの大文字、小文字、数字、記号など、使用できる文字種をランダムに組み合わせ、第三者に限りなく破られにくいパスワードを設定しましょう。

  • パスワード作成方法の例

1.自分が好きな日本語のフレーズ(単語ではなく文章)を1つ決めます。
例:「空は青い」

2.文頭を大文字にしてローマ字に変換します。
例:「Sorahaaoi」

3.区切り位置にあなたの個人情報と無関係の数字や特殊文字を入れます。
例:友人の誕生日(7月22日)と「!!」を挿入「Sora7ha2aoi2!!」

複数のサービスで同一のID/パスワードを使い回さない

アカウントリスト攻撃の標的にならないよう、必ずサービスごとに異なるIDとパスワードを設定しましょう。複雑なパスワードを複数管理できない場合には、パスワード管理ツールをお勧めします。パスワード管理ツールを使えば、マスターパスワードを1つ覚えるだけで利用するサイトに対して複雑なパスワードをそれぞれ設定したうえで、自動でログインを行うことができます。

トレンドマイクロでは、パスワード管理ツール「Password Manager™」を提供しています。
※画像をクリックするとトレンドマイクロ「Password Manager™」の紹介ページに移動します。

IDとパスワードの入力を求めるメールには詐欺の可能性をうたがう

フィッシングメールでは、「セキュリティの懸念があるためアカウントを停止する」や、「今すぐ対応しないとアカウントを失効する」など、利用者を不安にさせて急ぎの対応をせまり、判断力を鈍らせようとする手口がよく用いられます。アカウント情報の入力を求めるメールが届いたら詐欺の可能性を疑い、不安があれば、メールへの返信ではなく送信元の事業者のホームページから電話番号や問い合わせ先を調べて確認を行いましょう。

IDとパスワードを入力するサイトではアドレスバーを確認する

IDとパスワードによる認証を求める通販サイトなどでは、第三者による通信の読み取りを防いでくれるSSLに対応していることを確認することが基本です。SSL対応のWebサイトではアドレスバーに表示されるURLが「https://」で始まり、「鍵マーク」が表示されます。

サービスのアカウントを乗っ取られ、お金や情報を奪われてしまう被害は決して他人事ではありません。パスワード管理の不便さを解消し、安全に管理してくれるツールなども活用しながら、安心してネットを利用できる環境を整えましょう。

コンテンツ提供: トレンドマイクロ「is702」
  • ウイルスバスターマルチデバイス
  • InetnetSagiWall for マルチデバイス月額版