２０１４年にネットを騒がせたセキュリティ１０大事件とその防衛策

ＩＤやパスワードが流出し、知らない間に被害に遭う。２０１４年はそんな事件が目立った。

個人を狙った攻撃を防ぐにはどうしたらいいのかーー。ネット１０大事件を振り返りながら専門家と考えてみた！

＊　＊　＊

●マカフィーによる「２０１４年のセキュリティ事件に関する意識調査」トップ１０＊１位：ベネッセが顧客情報を大量流出＊２位：振り込め詐欺や迷惑電話による被害が多数発生＊３位：ＬＩＮＥの乗っ取り被害が発生＊４位：大手銀行のネットバンキングを狙う不正送金ウイルスが検出＊５位：大手金融機関やクレジットカード会社をかたるフィッシング詐欺が発生＊６位：ｉＣｌｏｕｄで海外セレブの写真やセルフポートレートが流出＊７位：ＪＡＬマイレージのウェブサイトに不正アクセスが判明。約２７００万人にパスワードの変更を依頼＊８位：ＪＲ東日本のＳｕｉｃａポイントクラブに不正ログイン＊９位：Ｆｌａｓｈ　Ｐｌａｙｅｒソフトに脆弱性が発見される１０位：ＯｐｅｎＳＳＬソフトに脆弱性が発見される

■ＩＤ、パスワードの使い回しは絶対にダメ

コンピューターセキュリティ会社「マカフィー」が発表した“２０１４年の１０大セキュリティ事件”が、上記の表だ。セキュリティに詳しいＩＴジャーナリストの三上洋（よう）氏は語る。

「この表からわかる特徴的なことは、パソコンのウイルス対策ソフトで防げるのは４位、９位、１０位の３つの事件だけということです。

これまではメールにウイルスが添付されていても、ウイルス対策ソフトがそれを防いでくれた。また、ネット経由でウイルスに感染しそうになっても、ウイルス対策ソフトがそれを守ってくれた。

しかし、３位や６位、８位などのようにユーザーがＩＤやパスワードを使い回していて、そのリストが流出してしまったために起きた事件はウイルス対策ソフトではどうにもなりません。２０１４年は“ＩＤやパスワードの管理の甘さ”“ネットリテラシーの低さ”を狙った“パスワードリスト攻撃”がたくさん起きた年といえるでしょう」

同じＩＤとパスワードを使い回す危険

では三上さんに、１０位から事件の詳細を説明してもらおう。

「１０位の“オープンＳＳＬに脆弱（ぜいじゃく）性（欠陥）が見つかった問題”は、一般のユーザーには防ぎようがありません。サーバー側の問題です。インターネット通信は、途中で盗み読みをされないように暗号化されて送られているんですが、その暗号化に問題があって情報が盗み読まれてしまったということです」

９位の“フラッシュの脆弱性”とは？

「ウェブサイトの表示に使われているソフト、フラッシュの問題点。古いソフトだと表示しただけでウイルス感染してしまうことがあります」

８位は“Ｓｕｉｃａポイントクラブに不正ログイン”。

「これが“パスワードリスト攻撃”です。原因はログインのために使うＩＤとパスワードが流出してしまったこと。そして、そのＩＤとパスワードを入手した人物がＳｕｉｃａポイントクラブなどのいろいろなサイトに入力して不正ログインし利用したということです。

この事件は、ユーザーが同じＩＤとパスワードを使い回しているために起きています。あるセキュリティ会社の調査によると、ＩＤとパスワードのセットを３つ以下しか持っていない人が６割でした。でも、それぞれのサイト別に数十個のＩＤとパスワードを覚えることは困難ですよね。そのための対策は後ほど紹介します」

７位は“ＪＡＬマイレージへの不正アクセス”。

「不正ログインと不正アクセスは別です。不正ログインは個人のアカウントに侵入して乗っ取ること。不正アクセスはサーバー側に問題があって、個人情報が盗まれてしまうこと。そして、そうやって盗み取られた情報が裏市場に出回って不正ログインにつながるわけです」

どんなにパスワードをかけても破られる？

６位は“ｉＣｌｏｕｄで海外セレブの写真などが流出”。

「これは、ふたつの可能性があります。ｉＣｌｏｕｄは〝自分のスマホからでもパソコンからでもデータが見られます〟というサービスです。それはネット上に共有されているから見られるのです。その仕組みをわかっていないユーザーが多い。ネットに上がっていれば、どんなにパスワードをかけていても破られる可能性があるんです。

それからもうひとつ。今回問題になっているのが“秘密の答え”。パスワードがわからなくなったとき、リセットするための質問がありますよね。『ペットの名前は？』とか『お母さんの旧姓は？』とか。セレブなどの有名人だと、こうした質問の答えは検索すれば出てくるんです。それで侵入された可能性が高いといわれています。

また、一般ユーザーでも最近はＳＮＳなどに個人情報を出している人が多いので、今後は注意が必要です」

５位は“フィッシング詐欺”、４位が“不正送金ウイルス”。

「５位と４位はリンクしています。フィッシング詐欺は、金融機関からメールが送られてきて暗証番号とＩＤ、パスワードを入力させます。４位の不正送金ウイルスは、大手銀行の正規のサイトにアクセスすると偽のポップアップが立ち上がって、そこにＩＤとパスワードを入れさせるもの。こうしたウイルスは、例えば９位のフラッシュなどのサイトを見たときに感染します」

３位は“ＬＩＮＥの乗っ取り”。

「これはＩＤとパスワードが流出してしまったことによるパスワードリスト攻撃ですね。他人のＬＩＮＥを乗っ取って、知り合いに『プリペイドカードを買ってきてください。その写真を添付してください』とか『父が交通事故に遭いました。すぐにお金が必要です。ここに入金してください』とか、いろいろなバージョンがあります」

自分が巻き込まれないための防衛策

２位は“振り込め詐欺”。

「セキュリティ会社の事件ランキングに入ってくるのは珍しいんですが、最近はネット経由で何かをしなさいという指示が増えているようです。

振り込め詐欺と少し違うんですが、今は『セックストーション（性的脅迫）』というのが問題になっています。ＳＮＳで女のコと仲良くなると、その女のコが『ネットセックスしましょう』とおっぱいの写真を送ってくるんです。だから自分もおちんちんの写真を撮って送る。

すると今度は『チャットしませんか？』とアプリを送ってくるんですが、そのアプリがアドレス帳を盗むアプリで、受け取った瞬間にメッセージがいきなり男に変わって『おまえのアドレス帳を盗んだ』とアドレス帳の写真が送られてくるんです。そして、『おまえのおちんちんの画像を知り合い全員に送られたくなければ２０万円払え』と脅してきます」

１位は“ベネッセの顧客情報流出”。

「ベネッセは顧客情報をかなりきちんと管理していました。データがある部署は担当者しか入れないようにして、ＵＳＢで抜き取られないような対策もしっかり行なっていた。それなのに、今回は犯人が会社のパソコンでスマホの充電をしようとしたときに、たまたまコピーができてしまったようです。スマホが接続されることを想定していなかったんですね」

今回わかったことは、ウイルス対策ソフトでは防げない犯罪が多くあり、自分たちのＩＤやパスワードの情報がすでに抜き取られている可能性が高いということだ。では、そうした犯罪に対する防衛策はないのだろうか？

「それは、今すぐＩＤとパスワードの使い回しをやめることです。すべてのＩＤとパスワードを別々にする。これをやらなければ絶対ダメです。

そして別々に設定したものは紙などにメモして保管する。そうすればネット上にバラまかれる心配はありません。

もうひとつは、パスワード管理ソフトを入れること。これは、ひとつひとつ別々のパスワードを作って自動でログインしてくれる機能があるソフトです」

乗っ取りなどの犯罪に巻き込まれないために、この冬休みを使って、どちらかの対策を取ってみてはどうだろう。

（取材・文／村上隆保）

■週刊プレイボーイ１・２号「２０１４年を騒がしたセキュリティ事件トップ１０そして、その防衛策とは？」より