写真左は、ピラニア。 パスワード流出の原因の一つであるフィッシングサイト。「サイト構築型」と「メール送信型」がある (IPA より)。
~~~~~~~~~~~~~~~~~~~~
ネットで様々な物品を購入したり、サービスを受けるのはとても簡単だ。 必要事項を画面の所定枠内に記入して、クレジット番号を入力すれば完了し、後日 該当品が届く。 その後 クレジット会社から購入品の請求書が届き、所定期日に引き落としされ、購入と支払いが完了する。
これが滞りなく 行われれば、全く問題はない。 だが、購入したことのない物品の請求書が届くなら、これは問題だ__直ちにクレジット会社に確認の電話を入れなくてはならない。
以前 問い合わせた件があった。 ハワイで泊ったホテルでの請求が2つのクレジット会社から届き、混乱した経験がある。 その原因は、実は私にあった__予約時に日本で PC 画面にAクレジット会社の番号を記入したが、ホテルを引き払うチェックアウト時に それを忘れて今度はBクレジット会社のカードを使ってしまったのだ。 結局 請求額はA、B併せて所定の金額だったので、そのままA、B請求通りに引き落としさせた。
そして毎月 届くクレジット会社からの請求書は、その度にチェックしている__購入した記憶のない請求内容があるかどうかを。
……………………………………………………
もう一件 詳しい内容は忘れたが、携帯電話でフィッシングメールらしき迷惑メールが届いたことがある。 携帯電話会社名でメールが届いたものだから、これには慌てた。 直ちに最寄りの販売店に出向き、該当携帯電話会のメールではないことを確認した。
こういうメールは犯罪者のサーバーが勝手に想定し安いアドレスに次々に送りつけるので、対策にアドレスを長いものにすると 届きにくくなると助言を受け、うんと長いアドレスに変更したら、迷惑メールはその後 全く来なくなった。
……………………………………………………
便利な世の中ではあるが、その恩恵は一般人にも犯罪者にも平等に降り注ぐから、始末が悪い。 こうしたイタチごっこは、幾ら技術が発達しても続くだろう。 対策は、”常日頃から注意深く行動・入力する”、これしかない。
ピラニアは小魚だが、その特徴は大きなアゴと集団で肉を食いちぎる獰猛な熱帯魚で有名な嫌われ者だ。 現地では食用される。 嫌われもののピラニアだが、絶滅はしないし、異常繁殖もしない。 一定の数が生き残る様は、懲りないネット犯罪者のようだ。
★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★
「ネットで加害者にならないために…パスワードを守る5つの方法」(7月13日 三上洋/IT ジャーナリスト/読売新聞) _ ※追加1へ
「私の Apple ID に不正アクセス! 復旧までの道のり」(7月13日 田村 規雄/日経パソコン) _ ※追加2へ
「私の Apple ID に不正アクセス! 復旧までの道のり」(7月13日 田村 規雄/日経パソコン) _ ※追加2へ
★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★
以上
※追加1_ メールアドレスが乗っ取られて、様々なサービスを悪用されたり、アカウント自体が利用停止になったりという事件が起きている。 パスワード (PW) の使い回しと、安易なメールアドレス登録には注意したい。
■ メール乗っ取りで起きる連鎖的な被害 ■
ネットサービスの ID・PW を盗み取られる話をよく聞くようになった。 Gmail や Yahoo! メールなどのメールサービスを乗っ取られたり、iTunes などのネット購入サービスで不正利用されたりという事件も起きている。
これらの事件で厄介なのは、単にメールアドレスや当該サービスの不正利用にとどまらず、他にも波及してしまう点だ。
たとえば、メールアドレスの ID と PW が流出してしまった場合、以下のようなことが起きる可能性がある (実際に同様の事件が起きている)。
1:スパム送信 (迷惑メールの送信)
乗っ取ったメールアドレスを使って、宣伝や不正サイトへの誘導などスパムを勝手に大量送信される。 被害者であるはずのあなたが、加害者になってしまう
2:同グループのサービスの不正利用
Gmail であれば YouTube (動画)、Docs (文書共有)、ファイルのネット保存 (Google Drive)、カレンダーといったサービスを不正利用される
3:同じメールアドレスを使った他サービスの不正利用
そのメールアドレスを使った他のネットサービスを乗っ取る。 たとえば Gmail の ID と PW で、Twitter や Facebook を使っていた場合、そのサービスも乗っ取られてしまう。後述する PW の使い回しが最大の原因
4:パスワードリマインダーの悪用
PW を忘れた場合に、登録メールアドレスに PW を送る「パスワードリマインダー」を悪用。 流出したメールアドレスで登録している他のサービスも、乗っ取られてしまう
5:クレジットカード、ショッピングサイトでの悪用
クレジットカードのオンラインサービス、ショッピングサイトで流出したメールアドレスが使われていないか犯人がチェック。 使われていた場合、金銭的被害に発展する場合も
6:加害者とみなされてアカウント停止も
メールが悪用された場合、メールサービスや他のサービス提供者がアカウントを利用停止にする。 あなたは被害者なのに、加害者とみなされて利用できなくなり、過去のデータなどが取り出せないことも
このように、メールの ID・PW が流出しただけで、連鎖的に被害が広がってしまうのだ。 銀行のオンラインバンキングや、クレジットカードのネット用 PW であれば慎重に扱うだろうが、メールアドレスの ID・PW は安易に設定したままという人が多いだろう。 それが被害の原因ともなっているのである。
では、なぜ ID と PW が流出してしまうのだろうか。 被害者の管理の甘さもあるが、実は警戒していても避けられない事態もある。
■ パスワード流出原因はフィッシングサイト、内部漏えい ■
警察庁がまとめた「2011年中の不正アクセス行為の発生状況等の公表について (PDF 資料)」によると、不正アクセス行為での ID・PW 入手の手口は以下の通りだった。
ID・PW 入手の手口 (2011年、警察庁による)
1:フィッシングサイト 24.4%
2:利用者の設定・管理の甘さに付け込んだもの 24.4%
3:元従業員・知人など内部からの漏えい 21.5%
4:共犯者などから入手 15.7%
5:聞き出し、またはのぞき見 12.0%
1のフィッシングサイトとは、銀行やカード会社などの偽サイトを作って、ユーザーのID・PW・登録番号を盗み取るもの。 IPA・情報処理推進機構が、7月4日に出している呼びかけ「フィッシングに注意するとともに、自分が加害者にならないよう気をつけよう!」で詳しく解説されている。
それによると、フィッシングサイトには「サイト構築型」と「メール送信型」があり、利用者の ID・PW を盗み取るために、巧妙な偽サイトを構築し、誘導しているようだ。
PW 流出の原因の2「設定・管理の甘さ」は、利用者の安易な PW 設定が原因だ。 誕生日などを PW にすると、犯人に推測されて乗っ取られてしまう。 原因の5番目「聞き出し・のぞき見」も、やはり利用者側に責任があるといっていいだろう。
ここまでは利用者側の責任ともいえる原因だが、3の「内部漏えい」は利用者側からはどうにもならない問題だ。 元従業員が勝手にデータを持ち出した、請負会社のアルバイトがコピーした、外部からの攻撃によって ID と PW が流出した、といった事件では、ユーザーは逃げようがない。
問題は、流出元のサービスだけでは済まない点だ。以前にあった事件では、ショッピングサイトが攻撃に遭って ID と PW が流出し、そこから事件が拡大した。 登録されている PW に、メールアカウントの PW と同じものを使っていた人がいたからだ。 これにより、メールアカウント自体も乗っ取られ、オークションなど他のサービスでの被害を受けた人もいた。 つまり、PW の使い回しをしていたために、被害が拡大してしまったのである。
また最近では、Facebook や Twitter のアカウントを利用するネットサービスもある。 この場合、元の Facebook・Twitter の ID・PW が流出した場合、そのサービスも乗っ取られてしまうことになる。 使い回しとは話が異なるが、乗っ取られた場合は被害が拡大する原因となるだろう。
■ 連鎖被害を避けるためのパスワード対策 ■
便利なネットサービスが増え、かつ実社会に近いサービスが多くなってきた現在、ID と PW の重要性は以前よりもはるかに高くなっている。 単純に PW を複雑化するだけでなく、正規サイト・偽サイトを見分ける、PW の使い回しをしないといった対策が必要だ。
対策を紹介しよう。
1:フィッシングサイトに警戒する
メールに書かれた URL 経由でのアクセスはやめる。 URL を確認し、正規のサイトであるかチェックしてから ID と PW を入力する
2:安易なパスワードはやめる
誕生日や車のナンバーなど、単純な PW は使わない。 辞書に載っているような単語や人名もやめること。 忘れそうであれば、PW 管理ソフトを使うか、紙に書いて大事に保存すること。
3:パスワードの使い回しはしない
メールアカウントの PW は、絶対に他では使わない。 流出した場合の被害を拡大させないためだ。 メールアカウント、銀行、クレジットカードなど重要度の高いサービスは、すべて別の PWを使うこと。 覚えられなければ、PW 管理ソフトなどを利用する
4:利用履歴、口座明細を定期的にチェックする
クレジットカードの利用履歴、ネットサービスのアクセス履歴に必ず目を通す。 不正利用がないか定期的にチェックしたい。
5:ネットサービス利用を一つに集中させない
かなり難しいが、できれば心がけてほしいのは、サービスを一つに集中させないこと。 Google や Apple などにサービスを集中させると便利だが、万が一流出した場合の被害が大きくなる。 筆者の個人的意見にはなるが、保険として他のサービスも利用する、分散させて使うことを心がけたほうがいいと思う。
ネットを利用するすべての人に、この5ポイントを頭に入れてほしい。 クラウドの時代になって、ID と PW の重要性は高まるばかりなので、改めて PW 対策に力を入れたい。
……………………………………………………
※追加2_ 2カ月ほど前の話になりますが、筆者の「Apple ID」アカウントが不正アクセスの被害に遭いました。 勝手にログインされてアカウント情報を変更された揚げ句、アプリを購入され、さらにアプリ内のアイテムも購入されていたのです。
パソコン雑誌の編集者として、セキュリティに関する知識はある程度は持っていますし、日頃から気を配っているつもりでした。 それなのにこうした被害に遭ってしまったことは、全く恥ずかしいことです。 しかし 多くの人に注意を促すためにも、私に降り掛かった事件のあらましをお伝えしたいと思います。
● アカウント情報が変更されたとの通知 ●
5月16日の夜 職場の PC に向かって仕事をしていると、アップルから「アカウント情報変更のご案内」というメールが届きました。 それによると、筆者のアカウント情報のうち、「氏名/配送または請求先住所/電話番号/クレジットカード」の4つが変更されたといいます。「このメールに心当たりがない場合、または第三者による不正アクセスが疑われる場合、今すぐ iforgot.apple.com へアクセスしてパスワード (PW) の再設定を行ってください」とも書かれていました。
● アカウント情報が全てイタリア語に ●
自分ではアカウント情報を変更していなかったので、すぐに「怪しいな」と思いました。 そして最初は、そのメール自体がフィッシングメールではないかとも疑いました。 アカウント情報が変更されたから、確認してくださいなどといって、ログイン画面で ID と PWを入力させて、それを盗み取る手口も考えられるからです。
そこで念のため、メール本文にあったリンクはクリックせず、PC にインストールしていた「iTunes」を起動してアカウント情報の確認を試みました。 iTunes からアクセスすれば、フィッシングサイトなどに誘導される心配がないためです。
iTunes を起動すると、一瞬 何かをダウンロードしているような挙動がありました。 少し気になりましたが、取りあえずアカウント情報を確認しました。 すると驚いたことに 確かに名前や住所、電話番号の一部がメチャクチャな文字列に書き換えられていて、なおかつ ページの表示が全てイタリア語に変わっていたのです。 国の設定がイタリアに変更されたため、表示言語も変更されたようでした。 アクセスできる iTunes Store も、イタリアのものでした。
● 見知らぬアプリが購入されていた ●
「やられた!」と慌てながらも、先ほどの何かをダウンロードしたような挙動を思い出し、ライブラリ内を確認してみました。 すると、「App」の画面に「King‘s Empire」という見知らぬアプリが登録されていました。 勝手にアプリを購入されてしまっていたわけです。
ちなみに 筆者は iPod nano (第5世代) を使っているだけで、iPhone も iPad も持っていません。 そのため、iTunes Store でアプリを購入したことはありませんし、そのアプリを動かすこともできません。 従って、 King's Empire なるアプリがどのようなものかは分かりませんが、ネットで調べてみると、無料のゲームアプリのようでした。
ここまでくると、完全に不正アクセスされた状態であり、ほかにも有料アプリ購入などの被害に遭う恐れもあります。 そこですぐに PW 再設定の手続きを行いました。 最初のメールに案内された通り、 iforgot.apple.com にアクセスし、PW を再設定しました。 これでひとまず、被害の拡大は免れたと考えられます。
● アプリ内で有料アイテムを購入される ●
ひと安心したところで、新たな疑問が生じました。 筆者のアカウントに不正アクセスした犯罪者は、なぜ無料アプリなどを購入したのでしょうか。 無料アプリを購入する犯罪者のメリットは何なのでしょうか。
そう 無料のゲームアプリに付き物なのが、アプリ内の有料アイテムです。 ネットで調べてみると、King's Empire というゲームでは、宝石などを有料で入手する仕掛けがあるようでした。
「もしや…」と思い、iTunes のアカウント情報ページで購入履歴を確認しました。 iTunes Store の利用経験はほとんどない (この7年間で音楽を5回ほど購入したことしかない) 上に、画面が全てイタリア語だったので、どのメニューをたどればよいかも分からず、苦労しました。 それでもようやく該当ページにたどり着くと、やはりアプリ内課金で 23.96ユーロ分、購入されていました。 おそらく犯罪者は、アプリ内で購入したアイテムを現実のお金で取り引きする「リアルマネートレード」を利用して、現金を不正に獲得していると思われます。
● 筆者の ID をカード不正使用の踏み台に? ●
不正アクセスが始まったとき、たまたま PC に向かっていてそれにすぐ気付き、約20分後には PW を再設定できたので、被害は最小限に食い止められました。 もし 変更通知メールをチェックせずに放置していたら、どうなったことでしょう。
ちなみに King‘s Empire なるアプリが購入されたことは、その直後に購入を知らせる確認メールが届きました。 ところが アプリ内でアイテムが購入されたことを知らせる確認メールは、約12時間後の翌日昼頃に届きました。 アプリが無料だからといって安心していると、そのタイムラグの間にアイテム内課金をたっぷりされていた恐れもあったわけです。
ただ幸いにも 筆者自身に金銭的被害はありませんでした。 というのも 奇妙なことに、最初にアカウント情報を書き換えられた時点で、クレジットカード情報も筆者とは別の人物が所有するクレジットカードのものに変更されていたからです。 具体的には、イタリアで使えるクレジットカードの番号に書き換えられていたと思われます。 だから 国の設定もイタリアに変更され、iTunes Store もイタリアのストアになっていたのです。
犯罪者はなぜそんなことをしたのでしょう。 おそらく、そのクレジットカード情報も誰かから不正に入手したものだと考えられます。 そして そのカードを筆者の Apple ID を通じて使用することで、カード不正使用の罪を、筆者になすりつけようとしたのではないでしょうか。
● どこから ID とパスワードが漏れたのか? ●
では なぜ不正アクセスの被害に遭ったのでしょうか。 考えられる原因をいくつか挙げてみます。
1)ウイルスにより ID/PW が漏洩した
ID や PW を不正に取得して犯罪者に送信するウイルスにかかった可能性は低いと見ています。 iTunes をインストールして Apple ID を利用していた PC は1台だけで、Windows の自動更新はもちろん ウイルス対策ソフトも導入し、定義ファイルの自動更新も設定していました。 いわゆるゼロデイ攻撃のように、Windows の修正プログラムやウイルス対策ソフトで対策できないような新たなウイルスがあったかもしれません。 しかし、その後1カ月の間 何度もチェックしましたが、ウイルスは見つかっていません。
2)フィッシングサイトで ID/パスワードを入力して盗まれた
フィッシングに対しても普段から注意しているため、怪しいサイトでは決して ID/PW や個人情報を入力しないようにしています。 本物そっくりのフィッシングサイトがあり、筆者が気づかずに入力してしまった可能性はゼロとはいえませんが、私にとって Apple ID は、iTunes 上で音楽やアプリを購入するときにしか使わないものなので、それ以外のフィッシングサイトで ID/PW を入力した可能性は限りなく低いです。
3)ID/パスワードが容易な内容だったため、推測されてしまった
ID についてはメールアドレスを使用していたので、確かに他人でも知り得る情報でした。 しかし PWは、そう簡単に推測できるものを利用していたわけではありません。 具体的には、アルファベットと数字をランダムに並べた8桁のパスワードでした。
4)アップルのサーバーから ID/パスワードが漏洩した
ソニーグループのオンラインサービスが不正アクセスを受け、のべ 1億人 以上の個人情報が盗まれた事件は記憶に新しいでしょう。 そのような不正アクセスがアップルのサーバーにあり、サーバーから ID/PW が漏洩した可能性はないでしょうか。 もちろん そのような事件が発生したら世界中で大騒ぎでしょうから、これも可能性は低いでしょう。 念のためアップルの日本の広報に確認してみましたが、「現時点でそのような情報漏洩は確認されていない」とのことでした。
5)同じ ID/パスワードを利用する別の Web サービスから流出
アップルの日本の広報によると、「これまで Apple ID で不正アクセス被害に遭ったユーザーの大部分が、ID/PW をほかの Web サービスでも使い回していた」そうです。 実際 ネット上の犯罪者は、ID/PW を使い回すユーザーが多いことを見込んで、複数のサービスから芋づる式に情報を盗み出そうとするといわれています。
確かに、筆者もまた ある大手通販サイトと共通の ID/PW を Apple ID で使用していました。 ただ その通販サイトもまた、アップルと同じように世界的な大手ですので、そのサーバーから ID/PW が流出した可能性は低いと思われます。 しかし その通販サイトを装う偽サイトで、うっかり ID/PW を入力し、情報を盗まれた可能性はあるかもしれません。
PC から通販サイトにアクセスしているときは、偽サイトにだまされることはないと思いますが、筆者はスマホからもこの通販サイトを利用しています。 スマホからアクセスすると、そもそも PC とは異なるデザインの Web ページが開くので、それが偽サイトであっても気づかなかったかもしれません。 なお その通販サイトの筆者のアカウントについては、今のところ不正アクセスの被害は出ていません。
結局のところ 一体どこで ID/PW を盗まれたのか、はっきりとは分かりません。 少なくとも、ID/PW の使い回しは避けるべきだったと反省しています。 複数の PW を管理するのは大変ですが、こうした被害に遭ったときに、どのサービスから情報が漏れたのか特定できない というデメリットもあります。 不正アクセスが発生した場合 即座に PW を変更する必要がありますが、その作業も多くのサービスで使い回していると、大変な手間です。 改めて ID/PW の適切な管理の必要性を思い知らされました。
● アップルのサポートには少々不満 ●
一方 今回の事件では、アップルのサポート対応にもやや不満を感じました。 筆者はまず Express Lane の Web ページで「iTunes」→「iTunes Store」→「アカウント管理」→「iTunes Store アカウントのセキュリティ」とたどって事実確認とアカウントの復旧を依頼しました。
問い合わせを送信すると、すぐに自動応答で「24営業時間以内」に返答するというメールが届きました。 そして3日後 サポートからメールが届きました。「24時間以内」ではなく「24営業時間以内」なので、1日8時間で計算すれば、まずは約束通りの返答でした。「このような不正アクセスされたと思われる形跡を発見され、さぞや心中穏やかではないかと存じます」という非常に丁寧な挨拶で始まるメールでした。
サポート側の対応により、筆者のアカウント情報のうち、ひとまず名前と住所と電話番号は元の状態に戻されました。 ただ クレジットカード情報は戻せないようで、またカード情報に依存する国の設定もイタリアのままでした。 国の設定を戻すには、日本で発行されたクレジットカードを用意して、登録し直す必要があるとのことでした。
そしてメールには、国の設定の変更方法が書かれていたのですが、その内容は残念なものでした。 書かれていた手順は、以下の通りです。 手順の(1)と(2)は割愛します。
3)お客様のアカウント名 (Apple ID) とパスワードを入力し、「アカウント情報」をクリックします。
4)アカウント情報ページで、「国を変更する」をクリックします。
筆者は、ログイン後の画面が全てイタリア語になっているため、どこをどう操作すればよいのか分からず、困っていたのです。「Italia」と書かれている部分が国の設定らしいことは分かりましたが、国のリストには「Japan」がなく、どれを選べば日本になるのか分かりません。 地域が選べたとしても、「Annulla」と「Modifica」のどちらを選ぶと確定なのかキャンセルなのか、さっぱり分からない状態でした。 それなのに 日本語で上記のような操作を説明されても、どうしようもありません。
● 次の返答は約1カ月後 ●
もちろん Web 上の翻訳サービスで、一つずつイタリア語を調べていけば、何とかなったでしょう。 しかし 筆者はアップルのサポートに期待して、あえて再度サポートに質問しました。 返答のメールにも「ほかにお気づきの点やご質問などございましたら、ご遠慮なく、このメールに返信にてお問い合わせください」と書かれていたからです。 イタリア語の画面でどう操作すればよいのかを改めて質問するとともに、不正アクセスの原因や、被害の状況についての質問を加えて返信しました。
ところが 質問の難易度が高かったのか、その後1カ月の間 返事は届きませんでした。途中 10日後には「メールが届いているかどうかだけでも確認して返事をもらえないか」と催促しましたが、何も返答はありませんでした。
そして 半ばあきらめかけていた6月14日に、サポートから返事が届きました。 そこには 返事が遅れたことに対する謝罪に続き、非常に丁寧な説明で、イタリア語の画面での操作が示されていました。 最終的には きちんとした対応をしていただいたと思っていますが、もう少し早く対応してもらえるとユーザーとしてはありがたいものです。 すぐに返事ができないのなら、その旨だけでも知らせてくれれば、無視されているわけではないと安心できます。
大量のユーザーを相手にしていて処理が追いつかなかったのかもしれません。 また 無料でサポートしてもらえるのですから、あまり多くを要求してはいけないのかもしれません。 しかし スマホやタブレット端末が普及しつつあり、老若男女さまざまなユーザーがアップル製品を利用する時代になっているのですから、製品の革新性を高めるだけでなく、サポートの一層の充実も図っていただきたいところです。
● 皆さんもご注意を ●
以上 筆者の個人的な体験を書かせていただきましたが、ネットで調べてみると 同様の被害に遭っている方は少なからずいるようです。 アップルのサポートコミュニティにも、筆者と同時期に、同じような被害に遭われた方の投稿がありました。 筆者もこれまで、「自分は大丈夫」と過信していたわけですが、皆さんも他人事とは思わず、ID の管理にはお気を付けください。
以上