不正ログイン対策とその事例 〜個人情報流出や乗っ取りを防ぐ不正アクセス対策基礎編〜

不正ログイン、不正アクセスは特殊なハッキング技術を持たない者でも可能な犯罪である

先日、日本IBMの社員が、3人の女性が持つYahoo!のアカウントに不正アクセスしたとして、神奈川県警サイバー犯罪対策課逮捕されたニュースが流れました。

容疑者は「他人の秘密をのぞき見たかった」と話しているそうです。

ゾッとするニュースですよね。

このような事件は、日本でも海外でも、幾度となく起きており、特にここ最近、この手のニュースが多いような気がします。

そしてこういった不正アクセス事件の犯人、容疑者の多くが、特殊なIT技術を駆使しているわけではなく、SNS等の公開された情報を集め、それらを使って

パスワードを推測する

という単純かつ古典的な手法で、情報を盗み見しているという現状があります。

不正アクセスと聞くと、私たちは『優れたIT技術を活用してハッキング』というようなイメージを持ってしまいがちですが、今回逮捕されたIBMの社員も特殊な技術を使っていたわけではありません。

被害者がSNSに公開していた誕生日や名前などの情報を元に、パスワードを推測し、それを入力してアクセスするという単純な方法で不正アクセスという犯罪を犯しています。

特殊な技術を持たない一般人でもできてしまう犯罪であり、ある意味とても怖いですね。

今回は、このような不正アクセス事件の事例や、対策方法についてお伝えして参ります。

不正アクセスは犯罪です!不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)について

事例や対策をご紹介する前に、一点お伝えしておきたいことがあります。

それは不正アクセス禁止法(正式名称は「不正アクセス行為の禁止等に関する法律」)について。

上記のような逮捕のニュースを見てもわかる通り、不正アクセスは犯罪です。

この法律では以下のようなことが定められています。

不正アクセス行為の用に供する目的で、他人の識別符号(パスワード等)を取得してはならない。違反者は1年以下の懲役又は50万円以下の罰金に処せられる。

何人も、業務その他正当な理由による場合を除いては、他人の識別符号(パスワード等)を、アクセス管理者及び利用権者以外の者に提供してはならない。違反者は1年以下の懲役又は50万円以下の罰金に処せられる。

何人も、不正アクセス行為の用に供する目的で、不正に取得された他人の識別符号を保管してはならない。違反者は1年以下の懲役又は50万円以下の罰金に処せられる。

フィッシングサイト構築と電子メール送信によるフィッシング行為を禁止する。違反者は1年以下の懲役又は50万円以下の罰金に処せられる。

アクセス管理者は、以下の措置を行う努力義務がある。罰則はない。
識別符号等の適切な管理
アクセス制御機能の検証および高度化
その他不正アクセス行為から防御するために必要な措置

※電子政府の総合窓口e-Gov より引用(e-Govは、総務省行政管理局の運営する総合的な行政ポータルサイトです。)

つまり、

・不正アクセスのために他人のパスワード等を取得する
・他人のID、パスワードを利用権者以外に手渡す
・不正アクセスの為に入手したパスワード等を保管する
・ウェブサイトやメールを使ってフィッシング行為をする

これらを禁じており、IDやパスワードを管理する側(Webサービスの提供者)にも努力義務を課しているのが、不正アクセス禁止法なのです。

不正アクセス禁止法の処罰対象は故意犯。過失、未遂犯は対象外。

こういった法律があることを踏まえ、次に事例と対策を見ていきましょう。

不正アクセス、個人情報流出の事例

それでは、ここ最近起きているいくつかの不正アクセス事例をご紹介しましょう。

2017年6月14日 不正アクセスの疑いで日本IBMの社員が逮捕

冒頭でも挙げたものです。

面識のない女性のYahoo!アカウントに不正アクセスし、プライベートな写真などをのぞき見していたとして、日本IBMの社員の男が逮捕された事件。20代の女性3人が被害に遭いました。

不正アクセスの手法は、IDとパスワードをSNSなどから得られた情報を使い推測したもの。容疑者のパソコンには今回の被害者以外の女性の写真、個人情報が保存されていたそうで、他にも被害者がいる可能性もあるそうです。

不正アクセス!高畑充希さん、AKB48島田晴香さんも被害に

こちらは今年4月の事件です。

女優の高畑充希さん、AKB48の島田晴香さんなどの芸能人を含む15人に対し、写真等が保存されたサーバーに不正にログイン。26歳の男が書類送検された事件がありました。

こちらの事件も、男にハッキングの専門スキルは無くSNSなどで公開された名前、誕生日などからパスワードを類推し、不正アクセスを行ったとのこと。

海外セレブも被害に

不正アクセス事件は海外でも多発しています。

2014年ジェニファー・ローレンスさん、メアリー・E・ウィンステッドさんなど、100人前後の海外セレブ(それも超大物クラス)の写真等がインターネット上に流出した事件もありました。

これはiCloudストレージに不正アクセスされたことで起きた事件でしたが、事件が明るみになった直後、Appleが公式声明を発表。

「Appleのシステムのセキュリティーが破られたわけではない」

と明言しました。

この事件も、パスワードや秘密の質問の答えを推測するなどの古典的な犯罪手法がつかわれていたことがわかっています。

SNSに公開されている情報をもとにパスワードを推測。専門知識不要の古典的手法

今回抽出させていただいた事例はいずれも、システムのセキュリティを破るなどの高度なハッキングではありません。

SNSや公開されたプロフィール、過去の投稿などから得た情報を元に「推測」し、パスワードや秘密の質問を突破する古典的な手法による不正アクセスです。

SNSに公開されている情報をもとに、パスワードを推測。

「名前+生年月日」
「名前+電話番号の末尾」
「名前+郵便番号」

など、誰でも容易に想像がつくような組み合わせを幾通りもつくり、それを実際に入力することを繰り返してセキュリティを突破するというアナログな手法なんですね。

IT技術を持たない一般の人でも、根気さえあれば、ある意味カンタンにできてしまう犯罪です。

もちろん高度なハッキング技術を使った不正アクセス事件も多数起きています。国土交通省は6月6日、「Apache Struts 2」の脆弱性を悪用した不正アクセスを受けました。3月にもJINSオンラインショップや日本郵便が不正アクセスの被害を受け、個人情報を流出させています。

まずは、これらのようなアナログの犯罪手法で不正アクセスされないように、個人でできるカンタンな対策を講じておきましょう。

誰でもできる基礎的な不正ログイン、不正アクセスへの対策

次に、不正アクセスを防ぐ為にできる基礎的な対策をお伝えいたします。

誰にでもできるカンタンなことですので、ぜひ目を通して、不正アクセスされない環境を整えておきましょう。

 

この項目及び、次項目で述べる内容は、上記のような古典的手法で個人のSNSアカウントに侵入された…という規模の不正アクセス、不正ログインに対しての対策です。コンピュータソフトウェアのセキュリティホールを狙ったサイバー攻撃…という規模の内容ではありません。それらにはまた別の対策を講じる必要があります

1、推測できない複雑なパスワードにする

Webサービスなどを利用する際、自らパスワードを忘れない為に、名前と生年月日を組み合わせたものや、名前と電話番号を組み合わせたものを使っている人が多くいます。

その他にも「qwerty」などキーボードの配列そのままのパスワードや、同じ文字の羅列にしたり、IDとパスワードを同じ文字列にしたり、「pasword」や「admin」など、そのまま使っていたり…

自分では忘れない工夫という意図があるのでしょうが、それらは大変危険な行為です。

上記で述べたような事件では、そこに付け込んでパスワードを推測し、セキュリティを突破しています。

不規則で長く英数字混ざったもの

を、設定しましょう。

とにかく他人から推測されない複雑な文字列にすることが重要です。

2、SNSなどでの個人情報の公開に注意

事例の項目でも挙げた通り、犯人はSNSのプロフィールに書かれた情報、投稿から得られた情報をヒントにパスワードを推測しているケースが多々あります。

SNSにおける個人情報の公開範囲は、可能な限り狭めておくほうが良いでしょう。

個人情報の公開範囲の広さとリスクの大きさは比例します。

特にメールアドレスは、多くのWebサービスでIDとして使用されています。

SNSなどで公開するメールアドレスと、Webサービスで使用するメールアドレスは別々のものを使用する、またはメールアドレスを公の場に晒さないなどの工夫が必要です。

メールアドレスを公開している=IDの公開

となってしまうと、その時点でセキュリティの半分を突破されているのと同じこと。注意しましょう。

メアドはSNSのプロフィールから取得、好きな芸能人をSNS投稿で公言→パスワードが芸能人の誕生日、でカンタンにログイン… というような事例も多いようです。

また、自分のような一般人が狙われることなどないだろうという油断も危険です。これらの事件における被害者は、芸能人でも有名人でもない、ごく普通の人のほうが多いのです。

3、複数のサービスでID・パスワードの使い回しはしない(パスワードリスト攻撃対策)

現代では一人のユーザーが複数のWebサービスを利用するのが当たり前の時代になっています。それぞれのWebサービスごとにパスワードを覚えるのが面倒で、同じパスワードを使い回す人が多数います。

これについても大変危険な行為です。

国土交通省や、日本郵便ですら情報漏洩するのですから、いつどこであなたのパスワードが流出するかわかりません。

一度パスワード等が流出してしまうと、パスワードリスト攻撃により、第三者に不正アクセスされる可能性が高まります。

パスワードリスト攻撃とは?…アカウントリスト攻撃とも呼ばれる。複数のサイトでID・パスワードを使い回すユーザーが多いという傾向を悪用したもので、企業からの流出など、なんらかの方法で入手したIDやパスワードのリストを用いて、別のサイトへの不正ログインを試みる攻撃。

もし、複数サービスでの使い回しを自覚しているのであれば、速やかに変更、再設定することをオススメします。

4、二段階認証、ワンタイムパスワードサービスを積極的に取り入れる

利用しているサービスで、二段階認証、ワンタイムパスワードなどが利用できる場合は、積極的に取り入れましょう。

二段階認証

アカウントにログインする際、ID、パスワードを入力する認証に加え、もう一段階「確認コード」を入力するハードルを設けることで、劇的にセキュリティを高めることができます。

ワンタイムパスワード

一定時間ごとに新しいパスワードが用意され、その一時一度しか使うことが出来ないパスワードのこと。キーホルダー式のトークンや、アプリを使ってパスワードを確認するもの。

 

特に Google 認証システム は大変便利で、私も存分に活用させていただいております。

WordPressも、Dropboxにも、この認証システムを活用してセキュリティを高めています。

Google 認証システム

Google Authenticator

認証システムアプリの使い方についてはここでは割愛させていただきます。検索すればたくさん出てきますよ。例 ⇒ WordPressで2段階認証を設定する

万が一不正アクセスの被害に遭ったら

上記のような不正ログイン、不正アクセスの被害に遭ってしまったら…

考えたくもない事態ですが、万が一の時に備えて対処方法も知っておくことが大事です。

早急なID、パスワードの変更でアカウントの安全を確保する(乗っ取りを防ぐ)

不正アクセス、不正ログインに気がついたら、まず最初にやっておかなくてはならないのが、アカウント乗っ取りへの対策です。

アカウントを奪われてしまうと、あなたの情報を閲覧される被害だけでは留まりません。

以下のような恐ろしい問題も想定されます。

1、登録クレジットカードやPayPalアカウントの不正利用
2、架空請求・詐欺行為などへのアカウントの悪用
3、ギャンブル、出会い系サイトなどへの集客を目的としたアカウントの悪用
4、個人情報等の不正取得、名簿売買に悪用
5、嫌がらせ行為

このような行為にアカウントを悪用される前に、早急にID、パスワードを変更。

不正アクセス側のコントロール権を奪い、自分だけがログインできる状態に修正しましょう。

まずはアカウントを守ることが重要です。

クレジットカード、Paypalアカウント等、金銭に関わる項目を含め、被害状況を確認、通報する

アカウントの安全を確保した後に、被害状況の確認を行ってください。

クレジットカード等は、最大限に安全を考慮し、カード会社に連絡しナンバーの変更を行うことをオススメします。Paypalアカウントや、各種サービスのポイント等も確認しましょう。

その他、改ざん、なりすまし行為の痕跡なども確認します。SNSであれば、基本情報からプロフィール、投稿、メッセージまでくまなくチェックしてください。

もし被害が見つかれば、即警察に連絡です。(その際、被害発生前後及びそれ以前のログ、キャプチャ等を可能な限り保存しましょう。また、サービス提供会社にも連絡しておくと良いでしょう)

「自分の不注意だから…」と躊躇される方も多いですが、冒頭で述べた通り、不正アクセスは犯罪です。あなたへの犯行を見逃せば、次の被害者が生まれる可能性も高まります。

あなたから得られた情報を使い、次の犯罪に及ぶ可能性もあります。

躊躇せず通報してください。

110番でも良いですし、管轄する警察署でもかまいません。

まとめ

以上、不正アクセス、不正ログインへの対策とその事例でした。

上記で述べた内容はに加え、普段から

・OSやアプリケーションは最新のものにアップデートする
・安全なインターネット回線を使用する
・セキュリティソフトを入れておく

といった対策もしておきましょう。

定期的にバックアップを保存しておくことも重要です。

不正アクセスは誰にでも起きる可能性があります。

被害を未然に防ぐ、被害を最小限に留めるためにも、上記のような対策や備えを心がけましょう。

個人レベルでも油断することなく、十分に注意した運用をしていきましょうね。

ご注意を!

落合式ブログ&SNS活用法 メール講座

この講座は、お金をかけずとも集客が可能であるブログを中心にFacebook、TwitterなどのSNSを活用し、自分だけのオリジナル情報発信メディアを構築、ビジネスに役立て、収益化していただくための講座です。
ABOUT US
アバター画像
落合正和
株式会社officeZERO−STYLE代表取締役
一般財団法人モバイルスマートタウン推進財団 副理事長兼専務理事
マーケティング・コンサルタント&Webメディア評論家&ブロガー
ブログやSNSを中心としたWebメディアが専門。ネット事件やサイバー事件、IT業界情勢、インバウンド観光などの解説で、メディア出演多数。 ブログやSNSの活用法や集客術、SEO、リスク管理等の講演のほか、民間シンクタンクにて調査・研究なども行う。 著書: 会社のSNS担当になったらはじめに読む本(すばる舎) ビジネスを加速させる 専門家ブログ制作・運用の教科書(つた書房) はじめてのFacebook入門[決定版](秀和システム)