5月30日に配信された朝日新聞デジタルの報道によると、昨年から「楽天スーパーポイント」が不正使用される被害が多発!
被害額は約900万円で、中国の犯罪集団の関与も…。ユーザーのショッピングポイントが盗まれているようだが、その手口とは?
* * *
―ネットサービスの不正使用は“IDとパスワードの流出”から始まる感じですけど、そもそもIDやパスワードって、どれぐらいの量が漏れてるんでしょうか? ハッカーでネットセキュリティに精通する石川英治さん、お願いします!
石川 国内ですと、昨年11月に「Ameba」が、他社サービスから流出したと思われるIDとパスワードを使ったハッキングを受けました。このときの不正ログインの試行回数が約3800万回。
―と、いうことは…?
石川 最低でもこの数のIDとパスワードが流出しています。
―お漏らし多すぎッ! どうしてこんなことに?
石川 ほとんどは各種ウェブサービスにハッカーが攻撃して流出したものになります。
―で、IDとパスワードを裏ルートで入手した悪党が、それを使って不正ログインと。その手口は?
石川 通称“リスト型攻撃”と呼ばれるハッキングが主流です。
―リスト型攻撃とは?
石川 ウェブサービスのログイン画面に、入手したIDとパスワードを片っ端から自動で入力して認証していくハッキング方法です。
―でも、ログインできないアカウントも多かったり、人手も機材も必要で、意外と効率が悪そうですが?
石川 いや、リスト型攻撃のシステムが入ったPC1台と、それを運用する人間が1名いればOKです。Amebaの場合は3日間でのログイン試行回数が約3800万回でしたが、そのうちログインに成功したのが約59万件。成功率1%超えですからね。効率はとてもいいですよ。
楽天が被害を受けたのも、リスト型攻撃になります。報道だと4ヵ月間で約140万件のIDとパスワードから、4万件の不正ログインに成功しました。スパコンを使ったら、もっと効率が上がりましたね(笑)。
―悪党にスパコンとか使わせちゃダメ、絶対!
★『週刊プレイボーイ』26号(6月12日発売)「ショッピングポ イント窃盗団のヤバイ手口!」では、窃盗団のさらなる手口と重要なセキュリティポイントを解説!
(取材・文/直井裕太 イラスト/服部元信)